Ny trojan lyckas undvika säkerhetsprodukter

En ny Android‑trojan som utger sig för att vara en filhanterare har upptäckts och kan i nuläget undgå upptäckt av vanliga säkerhetsprodukter. Det är Certo Software som rapporterar att skadprogrammet är tillgängligt offentligt och använder enkla tjänster för att fjärrstyra och stjäla data från infekterade telefoner.

RadzaRat presenteras som en vanlig filhanteringsapp men innehåller funktioner som gör att den i praktiken fungerar som ett verktyg för övervakning och fjärrstyrning. Enligt analysen kan appen bläddra i filer på enheten, söka efter specifika filer och ladda ner stora mängder data — upp till 10 gigabyte. Utöver filåtkomst finns en inbyggd keylogger som kan fånga det användaren skriver, vilket innebär att lösenord, meddelanden och annan känslig information kan hamna i fel händer.

Tekniskt utnyttjar RadzaRat Androids funktioner på ett sätt som gör det svårt för en vanlig användare att upptäcka vad som händer. Appen ber om särskilda rättigheter som ger den tillgång till lagring och möjliggör att den körs i bakgrunden utan att stängas ner av systemet. Den använder också Androids Accessibility Service, en funktion som egentligen är tänkt för att hjälpa personer med funktionsnedsättningar, men som kan missbrukas för att läsa vad som skrivs och styra telefonen i hemlighet. För att överleva omstart och undvika att stängas av använder den bland annat metode för att starta vid uppstart och be om undantag från batterioptimering.

Kommunikationen mellan den infekterade telefonen och angriparen sker via vanliga molntjänster och meddelandeplattformar. RadzaRat använder Telegram‑botar som kanal för kommandon och för att skicka stulen data, och servrarna som används finns bland annat hos Render.com. Själva appen har också lagts upp i en offentlig GitHub‑repo, vilket gör den lättillgänglig för andra som vill använda eller vidareutveckla verktyget.

Det som gör situationen särskilt allvarlig är att RadzaRat initialt upptäcktes av 0 av 66 säkerhetsfunktioner på VirusTotal, vilket betyder att många vanliga säkerhetsprodukter ännu inte känner igen den som skadlig. Det skapar ett fönster där angripare kan sprida och använda verktyget innan signaturer och skydd uppdateras.

För att minska risken bör användare undvika att installera appar från okända källor, vara restriktiva med att ge Accessibility‑ och device‑admin‑behörigheter, granska vilka rättigheter en app begär och uppdatera både system och säkerhetsappar regelbundet. Organisationer bör också överväga specialiserade mobilsäkerhetslösningar och utbilda anställda om riskerna med att installera okända appar.