Onderzoekers van Check Point Research hebben ontdekt dat een Android-malwareleverancier samenwerkt met een dark net-marketeer aan een nieuw product: Rogue. Deze nieuwe malware kan apparaten overnemen en data, afbeeldingen, locaties, contacten en berichten binnendringen.
De malwareleverancier, die in darknet fora de naam ‘Triangulum’ draagt, betrad begin 2017 al het darknet. In eerste instantie verkocht Triangulum een mobiele RAT (Remote Access Trojan) die zich focuste op Android producten. De mobiele RAT kon gevoelige gegevens van C&C-servers halen en daarbij lokale gegevens vernietigen. Een paar maanden later startte de leverancier met het aanbieden van Android-malware. Daarna verdween Triangulum bijna 1,5 jaar lang van de radar, tot 6 april 2019. Op die dag introduceerde de leverancier in samenwerking met HexaGoN Dev, dat zich specialiseert in Android OS malware, een nieuw kwaadaardig product. Het product kreeg de naam ‘Rogue’ en maakt deel uit van de MRAT-familie (Mobile Remote Access Trojan). De malware kan apparaten overnemen en gegevens binnendringen, zoals foto's, locaties, contacten en berichten.
Voordoen als Google-service
De malware maakt gebruik van het Firebase-platform van Google om zijn kwaadaardige bedoelingen te verhullen en zich voor te doen als een legitieme Google-service. Wanneer Rogue met succes alle vereiste machtigingen op het beoogde apparaat heeft verkregen, verbergt het zijn pictogram voor de gebruiker van het apparaat om ervoor te zorgen dat gebruikers er moeilijker weer vanaf komen. De malware registreert zich vervolgens als apparaatbeheerder. Wanneer de gebruiker de beheerdersrechten probeert in te trekken, verschijnt een bericht op het scherm: ‘Weet u zeker dat u alle gegevens wilt wissen?’ Het is volgens Check Point duidelijk dat de makers tijdens hun pauze van 1,5 jaar een hoog-functionerende productielijn hebben gecreëerd voor de ontwikkeling en distributie van Android-malware.
