Molto spesso il vasto universo di virus Android è caratterizzato da applicazioni sviluppate prendendo spunto da vecchi virus ormai ritenuti morti. È questo quello che si evince da WolfRAT, un nuovo virus attualmente indirizzato solo alla Thailandia, che deriva da un altro virus estremamente famoso qualche anno fa: DenDroid.
WolfRAT punta a WhatsApp e Messenger
Come suggerisce il nome stesso, WolfRAT non è altro che un “RAT”, ovvero Remote Access Trojan; questo, come riportato dai ricercatori del Cisco Talos Security Intelligence and Research Group, sarebbe in grado di colpire le applicazioni di instant messaging come WhatsApp, Facebook Messenger e Line.
Da un’attenta analisi del codice sorgente di WolfRAT, si è notato come esso sembri essere una versione nettamente meno “curata” di DenDroid. Vengono infatti evidenziate importanti lacune a livello di codice come stringhe inutilizzate, errori, classi errate e feature inutilizzate. Nonostante questo, però, WolfRAT è un virus ancora piuttosto temibile.
WolfRAT si propaga all’interno degli smartphone Android ingannando l’utente con alcune false notifiche provenienti da Google Chrome, Flash o Google Play Store. Una volta scaricato all’interno del dispositivo, WolfRAT è in grado di raccogliere importanti informazioni personali come la lista dei contatti, gli SMS, le chiamate effettuate, la cronologia del browser o addirittura registrare lo schermo dell’utente a cadenza di 50 secondi durante l’utilizzo di WhatsApp.
Queste informazioni vengono inviate ad una serie di server Command and Control (C2) appartenenti ad un gruppo hacker che si riteneva ormai sciolto. I ricercatori hanno scoperto che questi server sono riconducili a Wolf Research, ovvero lo stesso venditore che aveva sviluppato DenDroid. Questo, almeno secondo le ultime informazioni, non dovrebbe essere più operativo ma pare che ex dipendenti di Wolf Research siano tornati in attività proprio con WolfRAT e che stiano attingendo dal codice sorgente di DenDroid per renderlo più pericoloso.