В опубликованном ИБ-компанией Avast исследовании киберугроз за октябрь отмечается, что наибольшая опасность в течение месяца исходила от недавно появившегося трояна — OmniRAT, который относится к RAT-классу вирусов (т.е. является «инструментом для удаленного администрирования»). Особенность данного вредоноса заключается в его способности функционировать на всех известных ОС — Android, Windows, Linux и Mac OS X. А сам факт ширящихся атак с его использованием эксперты связывают с демпинговой ценой для достаточно мощного программного функционала: это — всего $25-50. Для сравнения: аналогичный по функционалу троян DroidJack в хакерской среде распространялся до недавнего времени за $210 и дороже.
В компании Avast склонны считать, что DroidJack и OmniRAT — однотипный софт с единственным отличием — мультиплатформенной «всеядностью» последнего. На эту мысль, кстати, наводит, история «преемственности» этих двух вредоносов. По мненb экспертов, OmniRAT совсем не случайно появился всего через несколько дней после ареста всех распространителей DroidJack Европолом и Евроюстом в 2014-2015 годах, когда в 13 германских городах был арестован весь костяк продавцов и покупателей этого «старого» трояна. Занявший место предшественника новый троян и по функционалу, и по фишинговой схеме распространения, и даже по оформлению повторяет DroidJack.
Чтобы вредонос проник в систему злоумышленники для разных систем используют особые уловки, чтобы пользователь посетил вредоносный URL, где устройство подвергается атаке. Например, заражение Android-устройства происходило так: на телефон жертвы поступало SMS-уведомление о том, что MMS-файл не доставлен в связи с наличием в устройстве уязвимости Stagefright (на сегодня уже исправлена – С.Б.), однако для получения медиа-послания пользователю предлагается пройти по ссылке на сайт для загрузки приложения — доставщика MMS.
После открытия ссылки и ввода в форму указанного в SMS проверочного кода, а также номера телефона пользователя, устройство подвергается атаке, и в систему — под видом инсталлятора MMS Retrieve — загружался установщик вредоноса с именем mms-einst8923.apk. Запуске инсталлятора якобы сервисного приложения для MMS осуществляет сам пользователь, нажав на иконку. И тогда в системе начинает «прописываться» троян OmniRAT, который в качестве легального ПО запрашивает у пользователя различные системные разрешения, включая права на редактирование текстовых сообщений, чтение журналов вызовов и контактов, изменение или удаление содержимого SD-карты. Печально, но большинство пользователей, не раздумывая, удовлетворяет все запросы инсталлируемого софта.
В корпоративном блоге аналитик Avast Николаос Крисайдос после исследования ряда инцидентов с OmniRAT отметил: «Жертвы понятия не имели, что их устройства теперь контролируются кем-то еще, а каждый шаг записывается и отправляется на сервер в другой стране. Особенно опасно то, что OmniRAT может распространяться через SMS. Сообщения, отправленные с зараженного устройства, разосланные по всему списку контактов, будут восприняты получателями как доверенные, скорее всего, получатели перейдут по приложенный ссылке». При этом он заверил, что «все данные, собранные кастомизированной версией OmniRAT, отправлялись на домен, расположенный в России».
Эксперты Avast предупреждают: избавиться от трояна OmniRAT весьма затруднительно: он подстраивает под себя всю систему. Для полной ликвидации вредоноса пользователю придется «с чистого листа» ставить всю систему, приложения и восстанавливать личные данные. В связи с этим безопасники рекомендуют не забывать о личной ИБ, и не «экспериментировать» со своим устройством, открывая указанные в SMS ссылки или устанавливая приложения из сомнительных источников.
.png)