Il panorama della sicurezza su Android continua ad evolversi, ma purtroppo non sempre in meglio; a ricordarcelo è iVerify, che ha recentemente individuato HyperRAT, un nuovo e pericoloso Remote Access Trojan (RAT) scritto in lingua russa e venduto come malware-as-a-service sui forum frequentati dai cybercriminali. Il nome è già di per sé eloquente, ma i dettagli lo sono ancora di più, si tratta di un trojan estremamente completo, capace di trasformare uno smartphone infetto in uno strumento di sorveglianza e attacco di ampia portata.
Un livello di controllo totale con il trojan HyperRAT
Come sottolineato da diversi esperti di sicurezza, il mercato dei malware Android come servizio è ormai pienamente sviluppato, anche gli aggressori meno esperti possono acquistare un APK pronto all’uso con una semplice quota di abbonamento; il venditore si occupa di tutto il resto, hosting, infrastruttura e persino aggiornamenti, mentre l’acquirente deve solo occuparsi della distribuzione del file malevolo. In altre parole, chiunque può lanciare una campagna di attacco con pochissime competenze tecniche.
HyperRAT di distingue per un pannello di controllo web estremamente completo, che consente agli operatori di:
- recuperare registri di sistema e log delle attività
- inviare notifiche o SMS direttamente dalla SIM dell’utente infetto
- scaricare messaggi archiviati e consultare il registro delle chiamate
- visualizzare o modificare le autorizzazioni concesse
- esplorare le applicazioni installate
- stabilire una sessione VNC per il controllo remoto completo del dispositivo
È quindi chiaro che non si tratta di un semplice trojan di spionaggio, ma di un toolkit di gestione remota con capacità estese, tanto da poter essere sfruttato per campagne di spam, phishing o attacchi mirati.
L’interfaccia di HyperRAT offre un livello di granularità inquietante, il malware può sapere se ha accesso ai registri delle chiamate, alla rete internet o alla possibilità di avviarsi automaticamente dopo un riavvio. Anche se alcune autorizzazioni (come la scrittura nei log delle chiamate o l’invio degli SMS) possono essere disattivate, il fatto che l’operatore possa modificarle o ripristinarle a distanza rende il tutto estremamente pericoloso.
Inoltre, la possibilità di visualizzare l’elenco delle app installate apre scenari di spionaggio mirato, basti pensare a un attacco contro applicazioni bancarie o di pagamento, dove il malware potrebbe intercettare comunicazioni sensibili o rubare credenziali.
HyperRAT, secondo i ricercatori, integra funzioni aggiuntive per la messaggistica di massa e la connessione a Telegram, rendendo possibile coordinare campagne di spam, phishing o diffusione di altri trojan direttamente dai dispositivi compromessi; un’arma insomma, duttile e potenzialmente devastante, capace di adattarsi a scenari diversi, dallo spionaggio personale all’attacco su larga scala.
Sebbene non sia ancora chiaro quanto estesa sia la diffusione di HyperRAT, la sua comparsa conferma una tendenza ormai evidente, gli strumenti di hacking per Android stanno diventando sempre più accessibili e automatizzati, riducendo drasticamente la barriera d’ingresso per i criminali informatici.
Come sempre, è fondamentale prestare la massima attenzione alle app installate, evitare file APK di provenienza sconosciuta e mantenere aggiornati i servizi di sicurezza del dispositivo.
- Pixnapping è un nuovo tipo di attacco che ruba i codici 2FA in pochi secondi
- Google elimina oltre 200 app dal Play Store a causa della campagna SlopAds
- Una nuova versione del malware Brokewell bypassa anche l’autenticazione a due fattori
- Attenti a questi malware scoperti all’interno di app presenti nel Google Play Store