Selon iVerify, HyperRat est un nouveau cheval de Troie d’accès à distance (RAT) pour Android vendu en modèle malware-as-a-service (MaaS) sur des forums russophones, avec une infrastructure gérée, un panneau web et un builder d’APK, illustrant la maturation du marché MaaS mobile. 🐀📱
Le malware fournit un panneau de contrôle web (en russe) gérant des appareils infectés via des IDs de « workers », et un générateur d’APK permettant de configurer nom et icône de l’application. Ses capacités incluent l’interception SMS/appels, le suivi GPS, le contrôle VNC de l’écran, l’injection d’overlays de phishing (WebView), l’icône masquée, le contournement de l’optimisation de batterie, le mode proxy SOCKS5 et l’intégration C2 via bot Telegram.
HyperRat intègre un gestionnaire d’injections sophistiqué capable de générer dynamiquement des overlays de phishing pour n’importe quelle application installée par son nom de package, permettant un vol d’identifiants ciblé au-delà de simples modèles prédéfinis. 🎣
TTPs mis en avant:
- Abus des services d’accessibilité et des autorisations Android (SMS, journaux d’appels)
- Phishing par overlays basés sur WebView ciblant des apps par nom de package
- Contrôle à distance via VNC et proxy SOCKS5
- C2 et téléopération via bots Telegram
- Évasion: icône cachée, contournement de l’optimisation de batterie
Il s’agit d’une analyse de menace présentant les fonctionnalités, le modèle MaaS et les mécanismes d’injection/C2 d’un nouveau RAT Android.
🔗 Source originale : https://iverify.io/blog/hyperrat-a-new-android-rat-sold-on-cybercrime-networks