Специалисты компании Avast бьют тревогу: обнаружен мультиплатформенный вредоносный RAT (remote administration tool), который поражает устройства на базе Android, Windows, Linux и Mac OS X. Хуже того, авторы распространяют его по лицензии, всего за $25-50 долларов, с пожизненной гарантией.

OmniRAT очень похож на DroidJack RAT, группа покупателей которого была арестована на прошлой неделе, в результате совместной операции Европола и правоохранительных органов стран ЕС. DroidJack создавался как инструмент для обеспечения родительского контроля, чтобы можно было приглядывать за Android-смартфоном отпрыска. Однако некоторые индивиды начали использовать его совсем с другими, недобрыми целями (как раз такую группу и арестовали недавно).

Но если автор DroidJack оценил свою разработку в $210, то авторы OmniRAT продают подписку на свой продукт всего за 25-50 долларов, дают «пожизненную гарантию» и их версия способна поражать отнюдь не только Android-устройства, хотя пока работает преимущественно с ними.

Предполагается, что OmniRAT создали в Германии, так как вектор атаки был впервые подробно описан на немецком форуме. Специалисты Avast рассказывают, что для доставки на устройства жертв используется социальная инженерия.

Согласно немецкому сценарию атаки, жертве приходит SMS-сообщение, которое гласит, что пользователю прислали MMS, но оно не может быть доставлено напрямую из-за опасной уязвимости Stagefright. Вредоносное SMS содержит короткую ссылку на сайт, где жертве предлагают ввести код и свой номер телефона. После этого жертва получает APK (mms-einst8923), которое, установившись в систему, маскируется под доставщика MMS: «MMS Retrieve». Но стоить нажать на иконку приложения, и начинается установка OmniRAT.

Capture

«Жертвы понятия не имели, что их устройства теперь контролируются кем-то еще, а каждый шаг записывается и отправляется на сервер в другой стране, — пишет Николаос Крисайдос  (Nikolaos Chrysaidos) в блоге Avast. — Особенно опасно то, что OmniRAT может распространяться через SMS. Сообщения, отправленные с зараженного устройства, разосланные по всему списку контактов, будут восприняты получателями как доверенные, скорее всего, получатели перейдут по приложенный ссылке».

Russiandomain

По данным специалистов Avast, OmniRAT переправлял собранные данные на российский сервер. Единственной «хорошей новостью» во всей этой истории эксперты называют тот факт, что OmniRAT пока распространяется допотопными методами, фактически, пользователь должен установить его сам, вручную.

Фото: istock



7 комментариев

  1. Jeffrey Davis

    09.11.2015 at 11:36

    По данным специалистов Avast, OmniRAT переправлял собранные данные на российский сервер.

    Значит, закон соблюдён. Придраться нé к чему.

    • Arpromus

      09.11.2015 at 13:00

      какая разница на какой сервер перенаправляют данные, если это нарушения личных прав

      • Jeffrey Davis

        09.11.2015 at 13:51

        Стало быть, по-Вашему нет разницы быть ли призванным в армию или посидеть годик в тюрьме?

      • geirby

        09.11.2015 at 19:19

        Обычно если на сайте вводишь номер телефона и какой то код, то соглашаешься с офертой/договором мелким шрифтом , а там все что угодно может быть, так же как и отправка любых данных на любые сервера.
        Лицензионное соглашение на Win10 тоже никто не читал, потом крики насчет телеметрии….
        Очень настойчивым бараном надо быть, тебя предупреждают и все равно со всем соглашаешься…

    • k0t1k

      09.11.2015 at 19:10

  2. vtd

    09.11.2015 at 15:51

    ну а Linux тут причём?

Оставить мнение