I ricercatori di Check Point Research hanno scoperto un nuovo Mobile Remote Access Trojan (MRAT) che si maschera da gestore di dispositivi dietro i servizi standard di Google ed è in grado di assumere il controllo dello smartphone. ed estrapolare immagini, dati sulla posizione, contatti e messaggi, tra le altre cose.

Questo MRAT, chiamato Rogue, rappresenta una minaccia per i telefoni Android.

Dopo essere stato installato su un nuovo dispositivo, Rogue inizia a chiedere alla vittima i permessi necessari e quando li ottiene nasconde la sua icona per evitare il rilevamento .

Allo stesso tempo, se non riesce a ottenere i diritti di amministratore, il "malware" chiederà ripetutamente all'utente di concederli.

Inoltre, se il proprietario del telefono infetto tenta di revocare i diritti, Rogue mostra il seguente un messaggio: "Sei sicuro di voler cancellare tutti i dati?" .

Rogue non solo può rubare foto, posizione, contatti e messaggi dell'utente, ma è anche in grado di ottenere l'accesso al microfono e alla fotocamera del dispositivo, ha spiegato alla rivista Forbes l'espertoa di Check Point Research Yaniv Balmas.

Tra l'altro, il "malware" può effettuare chiamate e inviare messaggi di testo, registrare audio, acquisire schermate, eliminare file e installare applicazioni .

Con Rogue è persino possibile accedere al database di WhatsApp ed eliminare tutti i messaggi salvati.

Il Trojan monitora anche le chiamate in entrata e in uscita, con la possibilità di registrarle e può bloccare le chiamate da numeri specifici .

Questo nuovo MRAT utilizza Google Firebase come una "maschera" per le sue comunicazioni con il server di comando e controllo esterno del suo operatore e ogni notifica che l'utente riceve viene salvata in un database locale e caricata su Firebase . Con questo, il "malware" separa le notifiche da Facebook, Instagram, WhatsApp, Skype e Telegram, tra gli altri, "che generalmente contengono dati più sensibili e preziosi".

Rogue è tra una serie di applicazioni che devono essere rimosse immediatamente dal dispositivo, avverte Check Point Research.

Queste "app" sono:

• Nome del collegamento (visibile nel menu), [Nome dell'applicazione (visibile nelle proprietà dell'applicazione)]
• AppleProtect, [se.spitfire.appleprotect.it]
• Axgle, [com.absolutelycold.axgle]
• Buzz, [org. Thoughtcrime.securesms]
• Servizio Google Play, [com.demo.testinh]
• Idea Security, [com.demo.testing]
• SecurIt, [se.joscarsson.privify.spitfire]
• SecurIt, [sc.phoenix.securit]
• Servizio, [com.demo.testing]
• Impostazioni, [com.demo.testing]
• Impostazioni, [com.hawkshawspy]
• Impostazioni, [com.services.deamon]
• ragazze dello sfondo, [com.demo.testing]
• Wifi Pasword Cracker, [com.services.deamon]

Gli esperti consigliano anche di installare alcuni software antivirus affidabili e di controllare lo smartphone dopo aver rimosso queste applicazioni.

Rogue è stato creato da due diversi sviluppatori di malware Android noti come Triangulum e HexaGoN Dev, e attualmente "ci sono probabilmente centinaia di migliaia di telefoni infetti ", ha osservato Balmas, avvertendo che questo numero potrebbe presto aumentare . "Dato il modello di lavoro di questi ragazzi e le forti campagne di" marketing ", questo può cambiare rapidamente e renderlo molto popolare", ha avvertito l'esperto.