RadzaRat-trojan misleidt ongezien Android-gebruikers

In dit artikel:

Onderzoekers van Certo ontdekten recent een nieuwe remote access trojan voor Android, gedoopt RadzaRat. De malware doet zich voor als een eenvoudige bestandsbeheer-app, maar bevat uitgebreide spionage- en datadiefstalfuncties: volledige toegang tot het bestandssysteem, het doorzoeken en downloaden van mappen en grote bestanden, en het registreren van toetsaanslagen via Androids toegankelijkheidsdiensten. Daarmee kunnen aanvallers wachtwoorden en vertrouwelijke communicatie onderscheppen.

RadzaRat wordt verspreid via een publieke GitHub-repository en wordt door de maker (actief onder het alias Heron44 op criminele forums) aangeboden met een laagdrempelige MaaS-aanpak. Volgens die fora is opzet weinig technisch: een gratis host, een Telegram-bot en een toestel met de app en benodigde rechten volstaan. Command-and-control loopt via Telegram-bots met Render.com als uploadtussenstation, wat het verkeer weinig verdacht laat lijken. De build bevat een debugcertificaat, wat erop wijst dat het rechtstreeks uit de ontwikkelomgeving komt of slecht verhuld is. Opvallend: actuele beveiligingsproducten herkennen de app nog niet als schadelijk.

Voor continuïteit gebruikt de trojan autostart, vraagt hij toestemmingen om Androids ingebouwde procesafsluitingen te omzeilen en draait hij als foreground-service om beëindiging te bemoeilijken.

Advies voor gebruikers: installeer geen apps buiten vertrouwde bronnen, wees terughoudend met het geven van toegankelijkheidsrechten, controleer en beperk app-permissies, houd het systeem up-to-date en overweeg een gerenommeerde mobiele beveiligingsoplossing. Voor organisaties is het raadzaam extra te letten op ongebruikelijke Telegram-communicatie en verdachte uploads naar externe hosts.