Специалисты компании Avast бьют тревогу: обнаружен мультиплатформенный вредоносный RAT (remote administration tool), который поражает устройства на базе Android, Windows, Linux и Mac OS X. Хуже того, авторы распространяют его по лицензии, всего за $25-50 долларов, с пожизненной гарантией.
OmniRAT очень похож на DroidJack RAT, группа покупателей которого была арестована на прошлой неделе, в результате совместной операции Европола и правоохранительных органов стран ЕС. DroidJack создавался как инструмент для обеспечения родительского контроля, чтобы можно было приглядывать за Android-смартфоном отпрыска. Однако некоторые индивиды начали использовать его совсем с другими, недобрыми целями (как раз такую группу и арестовали недавно).
Но если автор DroidJack оценил свою разработку в $210, то авторы OmniRAT продают подписку на свой продукт всего за 25-50 долларов, дают «пожизненную гарантию» и их версия способна поражать отнюдь не только Android-устройства, хотя пока работает преимущественно с ними.
Предполагается, что OmniRAT создали в Германии, так как вектор атаки был впервые подробно описан на немецком форуме. Специалисты Avast рассказывают, что для доставки на устройства жертв используется социальная инженерия.
Согласно немецкому сценарию атаки, жертве приходит SMS-сообщение, которое гласит, что пользователю прислали MMS, но оно не может быть доставлено напрямую из-за опасной уязвимости Stagefright. Вредоносное SMS содержит короткую ссылку на сайт, где жертве предлагают ввести код и свой номер телефона. После этого жертва получает APK (mms-einst8923), которое, установившись в систему, маскируется под доставщика MMS: «MMS Retrieve». Но стоить нажать на иконку приложения, и начинается установка OmniRAT.
«Жертвы понятия не имели, что их устройства теперь контролируются кем-то еще, а каждый шаг записывается и отправляется на сервер в другой стране, — пишет Николаос Крисайдос (Nikolaos Chrysaidos) в блоге Avast. — Особенно опасно то, что OmniRAT может распространяться через SMS. Сообщения, отправленные с зараженного устройства, разосланные по всему списку контактов, будут восприняты получателями как доверенные, скорее всего, получатели перейдут по приложенный ссылке».
По данным специалистов Avast, OmniRAT переправлял собранные данные на российский сервер. Единственной «хорошей новостью» во всей этой истории эксперты называют тот факт, что OmniRAT пока распространяется допотопными методами, фактически, пользователь должен установить его сам, вручную.
Фото: istock
