Новый уровень угрозы для Android-устройств
В обширной экосистеме киберугроз появилась очередная сложная угроза — Android-троян удалённого доступа, предлагающий уникальные функции, делающие его трудновыявляемым или полностью недоступным для обнаружения современными средствами безопасности. Этот новый
Хозяин под ником Huckel789 внедрил различные возможности в своё творение, что снижает барьеры для злоумышленников. Успешно используя веб-интерфейс, троян обходит необходимость установки на ПК, что может способствовать обходу корпоративных фильтров безопасности. Само наличие на уважаемой платформе как GitHub делает его ещё более опасным, так как многие пользователи доверяют распространению на такой платформе.
Вредоносная программа Android-троян удалённого доступа
Скрытность и настойчивость
Главным отличием данного Android-трояна удаленного доступа является его исключительная скрытность. Благодаря передовой системе шифрования, использующей AES-128-CBC протокол, и обфускации IP-адресов управляющих серверов, он становится невидимым для статического анализа. Поддержание связи осуществляется в «режиме заморозки», который снижает передачу данных до 1–3 МБ за сутки, что минимизирует сетевые сигнатуры.
Для поддержания постоянного воздействия на скомпрометированное устройство, троян использует функции постоянства и выживает даже в условиях агрессивных режимов оптимизации батареи и управления питанием. Что касается FUD функциональности, то он обладает механизмами антиэмуляции и обнаружения виртуальных машин, что помогает оставаться незаметным при анализе.
Методы распространения и шифрования
Одним из главных векторов заражения служит
