Ataques RAT

Un troyano, o RAT (Remote Access Trojan), es un tipo de malware utilizado para obtener control remoto de un dispositivo, disfrazándolo bajo una apariencia legítima. Toda la informacion que consegui recaudar sobre este tipo de ataques en 2019 la consegui del usuario nitram del grupo comando soft

Para construir un troyano, puedes utilizar la herramienta SpyNote. Esta herramienta proporciona una interfaz simple que cualquiera puede usar para ocultar un troyano en una aplicación apk funcional, de modo que el usuario no sospeche que está instalando malware.

Aquí te mostramos cómo puedes crear un troyano utilizando esta herramienta:

Paso 1: Abre la aplicación y selecciona un puerto para recibir la información recopilada del dispositivo infectado.

Captura de pantalla paso 1

Paso 2: Desde el panel de control, explora las opciones y busca el "Payload" que modificará/infectará una apk.

Captura de pantalla paso 2

Paso 3: Dentro del Payload, añade los datos necesarios (nombre de la víctima, nombre de la app, nombre del paquete, versión, icono, socket del atacante, propiedades del malware, apk que se va a infectar).

Captura de pantalla paso 3 Captura de pantalla paso 4 Captura de pantalla paso 5 Captura de pantalla paso 6

Paso 4: Después de rellenar todos los campos, construye los datos en la siguiente pantalla y la apk se infectará automáticamente.

Captura de pantalla paso 7

Paso 5: Ahora, cualquier dispositivo móvil que instale esta apk modificada quedará infectado y podremos gestionarlo. Al hacer clic derecho, tendremos acceso a muchas opciones de control remoto.

Captura de pantalla paso 8

Versiones de esta herramienta y similares

Hasta la fecha, esta herramienta ha evolucionado mucho desde la versión que se ha mostrado, cuyo código se ha filtrado y, por lo tanto, se puede utilizar de forma gratuita. Estas son algunas de las versiones filtradas en GitHub:

También hay más versiones filtradas en GitHub y otros medios, pero no recomiendo versiones anteriores a la 6.4 en la fecha actual, ya que las versiones mencionadas ya no son "zeroDays" y los dispositivos suelen detectarlas fácilmente.

Lo mejor seria investigar sobre un RAT que a dia de hoy no sea detectado por el antivirus de play protect y utilizar el que mas se adecue a las necesidades del atacante, a dia de hoy SpyNote tiene una version de pago con licencia de por vida que se puede comprar en su pagina web oficial la cual se anuncia como que no se ha detectado nunca pero documentos como estos dicen todo lo contrario...

Tambien puedes obtener mas informacion sobre como funciona este programa en este pdf desarrollado por Sectrio una empresa de ciberseguridad