Het Android-ecosysteem heeft er een zorgwekkende dreiging bij. Onderzoekers van Certo hebben een nieuwe remote access trojan geïdentificeerd die wordt verspreid onder de naam RadzaRat.
De malware wordt gepresenteerd als een eenvoudige bestandsbeheerapplicatie. Het bevat echter uitgebreide functies voor toezicht, gegevensdiefstal en externe controle. Opvallend is dat geen enkele bekende beveiligingsoplossing de applicatie momenteel als schadelijk herkent. Dit vergroot het risico voor gebruikers.
RadzaRat verschijnt in een periode waarin malware-as-a-service steeds toegankelijker wordt. De ontwikkelaar, actief op criminele fora onder het pseudoniem Heron44, richt zich nadrukkelijk op gebruikers met weinig technische kennis. Volgens deze fora is het opzetten van de trojan nauwelijks ingewikkeld. Aanvallers hebben alleen een gratis hostingomgeving nodig, een Telegram-bot en een toestel waarop de app geïnstalleerd wordt met de benodigde rechten.
De applicatie is vrij te downloaden via een publieke GitHub-repository. Dit illustreert hoe eenvoudig het is geworden om schadelijke software te verspreiden via normaal gesproken legitieme ontwikkelplatforms. De aanwezigheid van een debugcertificaat wijst erop dat de versie die circuleert rechtstreeks uit de ontwikkelomgeving komt of dat de maker weinig moeite heeft gedaan om het project te verhullen.
Volledige toegang tot het bestandssysteem
Onder de motorkap bevat RadzaRat een uitgebreid pakket aan functies. De trojan heeft volledige toegang tot het bestandssysteem van het toestel en stelt aanvallers in staat mappen te doorzoeken, specifieke bestanden op te vragen en grote databestanden te downloaden. Een analyse van de app-structuur laat zien dat de filemanagerinterface niet alleen als vermomming dient, maar ook het uitgangspunt vormt voor deze operaties.
Daarnaast registreert de malware toetsaanslagen. De techniek maakt gebruik van Androids toegankelijkheidsdiensten, een functie die bedoeld is om gebruikers te ondersteunen maar steeds vaker wordt benut voor ongeautoriseerde monitoring. Via deze methode kan vrijwel alle invoer worden vastgelegd, van wachtwoorden tot zakelijke communicatie.
De command-and-controllaag draait op Telegram en Render.com. De app verstuurt buitgemaakte gegevens via door de aanvaller beheerde bots, waarbij Render-servers dienen als tussenstation voor uploads. Dit model biedt zowel praktische voordelen als een zekere mate van camouflage, omdat Telegram-verkeer alomtegenwoordig is en vaak niet verdacht lijkt.
RadzaRat werpt meerdere barrières op om zichzelf actief te houden. De app start automatisch op na een herstart. Het vraagt toestemmingen aan die voorkomen dat Android het proces stopt om batterij te besparen. Ook maakt de trojan gebruik van foreground-services, waardoor het systeem minder snel geneigd is het proces te beëindigen.