Um novo trojan de acesso remoto para Android (RAT) foi publicado no GitHub e representa uma ameaça séria a dispositivos móveis. O repositório identificado como “Android-RAT” pelo usuário Huckel789 oferece afirmações “totalmente indetectáveis” que contornam detecções e soluções protetoras, além de disponibilizar uma interface web que dispensa instalação em PC, facilitando o uso por operadores com diferentes níveis de habilidade.
Leia também
Apps Unity vulneráveis à execução arbitrária
Agente AI SOC mostra eficiência contra phishing
A campanha explorar a confiança da plataforma GitHub para hospedar o código malicioso, o que pode facilitar a distribuição e reduzir bloqueios automáticos. O malware incorpora técnicas para detectar emuladores e ambientes de análise virtualizados, mantendo-se inativo nesses cenários e ativando-se somente em dispositivos reais, complicando a análise forense e a elaboração de assinaturas.
Tecnicamente, a amostra inclui keylogger, roubo de credenciais, módulo de ransomware e ferramentas de engenharia social que pressionam o usuário a permissões sensíveis. O back end usa comunicação cifrada com preenchimento AES-128-CBC e PKCS e recursos de persistência que sobrevivem a otimizações de bateria e restrições de gerenciamento de energia em ROMs como MIUI. A função “Freeze Mode” limita o tráfego de alguns megabytes por dia para reduzir assinaturas de rede, e um conta-gotas capaz de injetar ou carga útil em aplicativos legítimos torna vetores de entrada difíceis de detectar.
Dada a complexidade, o uso de plataformas específicas para hospedagem e os mecanismos de evasão, a recomendação é remover imediatamente qualquer aplicativo ou repositório suspeito, bloquear downloads de fontes não oficiais, fortalecer controles de publicação em ferramentas de segurança de rede e monitorar tráfego cifrado anômalo. Analistas e equipes de resposta devem coletar amostras, criar regras de detecção comportamental e alertar os usuários sobre o risco de instalar APKs fora das lojas oficiais.
