Domů » Články » Dejte si pozor na nový mobilní malware Rogue. Hackeři ho dokonce prodávají na černém trhu

Dejte si pozor na nový mobilní malware Rogue. Hackeři ho dokonce prodávají na černém trhu

Výzkumný tým společnosti Check Point odhalil dvojici hackerů, kteří vyvíjí a prodávají na černém trhu (tzv. dark net) mobilní malware. Hackeři s přezdívkami Triangulum a HeXaGoN Dev navíc vytvořili nový malware Rogue, který umožňuje převzít kontrolu nad napadeným zařízením a krást data, jako fotografie, informace o poloze, kontakty a zprávy.

Check Point Rogue

Triangulum je 25letý a 190 cm vysoký muž, který v roce 2017 choval dvě želvy, měl přítelkyni a poprvé se připojil k dark netu. Vyniká sociálními a matematickými dovednostmi a jeho prvním produktem byl mobilní RAT (Remote Access Trojan), který je schopen krást data z C&C serveru a ničit lokální data – dokonce mazat i celé operační systémy. O čtyři měsíce později začal Triangulum prodávat svůj první malware pro Android, který nazval Cosmos. Na začátku nebylo snadné najít stopy vedoucí k tomuto kyberútočníkovi. Ale jakmile byly rozkryty první střípky mozaiky, bylo relativně snadné ho dále sledovat a zjistit o něm další podrobnosti.

Triangulum zmizel ze scény na téměř 1,5 roku a vrátil se až 6. dubna 2019 s novým produktem. Následně byl velmi aktivní a snažil se prodávat nejrůznější kyberhrozby. Je pravděpodobné, že pauzu Triangulum využil pro budování strategie a procesů pro vývoj a distribuci škodlivých kódů pro Android.

Spolupráce marketéra a vývojáře

Triangulum začal spolupracovat také s dalším hackerem s přezdívkou HexaGoN Dev, který se zaměřuje na vývoj malwarových hrozeb pro operační systém Android. Zjednodušeně můžeme říci, že Triangulum se zaměřuje na marketing, propagaci a prodej hrozeb na dark netu a HexaGoN Dev se věnuje technickému vývoji. V minulosti Triangulum zakoupil několik projektů vytvořených právě HeXaGoN Dev, což byl počátek pozdější spolupráce.

rogue malware
Reklama z roku 2017

Kombinace programovacích schopností HeXaGon Dev a marketingových a sociálních dovedností Triangulum představuje vážnou hrozbu. Společně vytvořili a distribuovali několik variant mobilních malwarů pro Android, včetně kryptominerů, keyloggerů a sofistikovaných P2P (Phone to Phone) MRAT. Triangulum propaguje produkty na různých fórech dark netu a vytváří i atraktivní grafické materiály a infografiky. Za několik desítek dolarů si tak lze koupit hrozby včetně administrativních nástrojů.

rogue
Reklamy na mobilní škodlivé kódy DarkShades (z roku 2019) a Rogue (z roku 2020). DarkShades navazuje na malware Cosmos, útočníkům navíc umožňuje zneužít napadené zařízení k nahrávání zvuku a pořizování fotografií. Rogue je novější malware, který navíc umí odesílat i falešná oznámení nebo získat práva pro správce zařízení.

Malware Rogue: Opravdu chcete smazat veškerá data?

Triangulum a HeXaGoN Dev spolupracovali na vytvoření malwaru Rogue a jeho prodeji na dark netu. Rogue je součástí rodiny MRAT (Mobile Remote Access Trojan) a může získat kontrolu nad napadeným zařízením a krást jakákoli data, jako jsou fotografie, poloha, kontakty a zprávy, upravovat soubory v zařízení a stahovat další škodlivý obsah.

Jakmile Rogue získá všechna požadovaná oprávnění, skryje svou ikonu před uživatelem, aby na sebe neupozorňoval a nebylo tak snadné ho odstranit. Pokud nejsou udělena všechna požadovaná oprávnění, bude uživatele opakovaně žádat o jejich udělení. Malware se následně registruje jako správce zařízení a pokud se uživatel pokusí oprávnění odebrat, zobrazí se na obrazovce zpráva: „Opravdu chcete smazat všechna data?

Aby zamaskoval své zákeřné úmysly a mohl se vydávat za legitimní službu Google, využívá platformu Firebase, tedy služby Google pro aplikace. Konkrétně se jedná o C&C server, takže všechny příkazy, které ovládají malware, a všechny informace ukradené malwarem, jsou doručovány pomocí infrastruktury Firebase.

Prodejci mobilního malwaru jsou velmi vynalézaví. Na dark netu si tak může kdokoli relativně snadno koupit nějakou hrozbu a stát se kyberzločincem, aniž by to vyžadovalo nějaké speciální technické znalosti. Hackeři nabízí i nejrůznější balíčky, slevy a podporu a kopírují tak klasické prodejní akce, které známe z reálného světa. Snažíme se rozkrývat vývoj malwaru i taktiky hackerů a zároveň varovat organizace i uživatele a ukázat, jak těžké je nyní efektivně sledovat, klasifikovat a chránit se před všemi hrozbami. Navíc dark net je zaplaven různými falešnými produkty, což komplikuje analýzu, co je skutečnou hrozbou a co ne,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.

Dominik Vlasák

Diskuze k článku

  1. Android je obrovsky bezpecnostni pru*er, protoze vetsina telefonu bezi na starych verzich s nulovymi zaplatami. A zakoupit si nejakou „srandu“ vyjde treba na 5 dolaru.

Napište komentář

Redakce si vyhrazuje právo mazat komentáře, které nesouvisejí s tématem diskuze, nebo jsou útočného či urážlivého charakteru (pomluvy, vulgarity, rasismus či ponižování). V případě porušení těchto pravidel chování může redakce zakázat přístup do diskuze.

Odeslané komentáře jsou strojově kontrolovány (spam, nevhodné výrazy…).