RadzaRat, novoidentifikovani špijunski softver za Android, otkriven je od strane sigurnosnih istraživača kompanije Certo. Ovaj softver iskorištava slabosti u bezbjednosnim protokolima mobilnih uređaja, pokazujući kako zlonamjerni akteri razvijaju sve naprednije taktike radi ugrožavanja mobilne zaštite.

RADZARAT TROJANAC

Otkriće RadzaRat, novog zlonamjernog softvera za Android, izazvalo je ozbiljnu zabrinutost u zajednici sajber bezbjednosti. Ovaj napredni trojanac skriva se pod maskom legitimnog menadžera datoteka, omogućavajući akterima da kradu podatke, prate pritiske na tastaturi i daljinski upravljaju inficiranim uređajima bez otkrivanja.

Posebno alarmantna karakteristika prijetnje jeste njena sposobnost da izbjegne detekciju od strane vodećih proizvođača bezbjednosnih softvera na VirusTotal platformi, gdje je zabilježen rezultat 0/66. RadzaRat, predstavljen kao funkcionalan menadžer datoteka, time postaje još opasniji jer se besprijekorno uklapa u digitalni pejzaž, dok u pozadini neprimjetno obavlja zlonamjerne aktivnosti. Takav prikriveni pristup omogućava operaterima da prikupljaju osjetljive informacije i kradu podatke bez izazivanja sumnje.

 

Funkcionisanje

RadzaRat funkcioniše kao trojanac sa punim mogućnostima za daljinski pristup (eng. remote access trojan – RAT), pružajući zlonamjernim akterima trajnu kontrolu nad ugroženim Android uređajima. Jednom instaliran, ovaj softver omogućava potpun pristup sistemu datoteka, pa operateri mogu pregledati direktorijume, pretraživati određene datoteke i krasti podatke, uz podršku za prenose veličine do 10 GB.

Takva sposobnost čini RadzaRat pogodnim za krađu čitavih foto biblioteka, arhiva dokumenata, baza podataka ili korporativnih zbirki podataka koje se čuvaju na uređaju. Njegova mogućnost da pristupi osjetljivim informacijama neprimjetno i bez izazivanja sumnje posebno je zabrinjavajuća, jer omogućava prikupljanje vrijednih obavještajnih podataka i krađu sadržaja uz mali rizik od otkrivanja.

Pored krađe datoteka, RadzaRat posjeduje i funkcionalnost praćenja korisničkog unosa (eng. keylogger), koja se oslanja na Android okvir za usluge pristupačnosti. Zloupotrebom privilegija pristupačnosti – namijenjenih korisnicima sa invaliditetom – ovaj softver može da bilježi svaki pritisak tastera, uključujući lozinke, bankarske podatke, lične poruke i podatke za prijavu u oblak ili poslovne sisteme.

Ova sposobnost da radi neotkriveno čini RadzaRat jednom od ozbiljnijih prijetnji u savremenom digitalnom okruženju, jer zlonamjernim akterima omogućava kontinuirano prikupljanje osjetljivih informacija bez izazivanja sumnje.

 

Komanda i kontrola (C2)

Infrastruktura komande i kontrole (C2) ovog zlonamjernog softvera zasnovana je na Telegram botovima, taktici koju sve češće koriste autori Android prijetnji. Korištenjem Telegram šifrovanog saobraćaja, RadzaRat prikriva zlonamjerne komunikacije unutar široko korištene i legitimne platforme za razmjenu poruka, čineći da se C2 saobraćaj stapa sa uobičajenim ponašanjem korisnika.

Analiza mreže otkrila je dva domena smještena na Render[.]com, koji služe kao posredničke tačke za otpremanje ukradenih podataka. Besplatni nivo Render usluge omogućava operaterima RadzaRat zlonamjernog softvera da postave infrastrukturu bez troškova i bez rizika od povezivanja sa njima, što im daje prednost u radu sa ograničenim resursima. Na ovaj način operateri održavaju nizak profil i sprovode zlonamjerne aktivnosti neprimijećeno.

 

Distribucija i pristupačnost

Ono što RadzaRat čini posebno dostupnim zlonamjernim akterima nižeg nivoa jeste njegov način distribucije. Softver se otvoreno reklamira na podzemnim forumima za sajber kriminal, od strane programera pod pseudonimom Heron44, koji ga predstavlja kao alat jednostavan za korištenje – čak i za pojedince sa malo ili bez iskustva u razvoju zlonamjernih aplikacija.

Gotov APK nalazi se u javnom GitHub skladištu, što znači da svako može da ga preuzme i instalira bez ikakvih prepreka. Za pokretanje RadzaRat zlonamjernog softvera operaterima je potreban samo besplatan Render[.]com server, Telegram bot token i APK instaliran na ciljnom uređaju sa potrebnim dozvolama.

Ovakav pristup spreman za upotrebu predstavlja problematičnu demokratizaciju razvoja i širenja mobilnog zlonamjernog softvera. Lakoća pristupa ovoj prijetnji dodatno otežava braniocima da ostanu korak ispred u današnjem brzo promjenljivom digitalnom okruženju.

 

Mehanizam postojanosti

RadzaRat pokazuje značajne mogućnosti postojanosti, što otežava njegovo uklanjanje i korisnicima i automatizovanoj mobilnoj odbrani. Sigurnosni istraživači pronašli su dokaze o BootReceiver komponenti i dozvolama poput RECEIVE_BOOT_COMPLETED, koje osiguravaju da se zlonamjerni softver automatski pokrene svaki put kada se uređaj uključi.

Aplikacija zahtijeva izuzeća od funkcija optimizacije baterije Android uređaja, čime sprječava operativni sistem da ograniči njenu pozadinsku aktivnost. RadzaRat deklariše više usluga u prvom planu, koje prema Android pravilima dobijaju povlašćen tretman u upravljanju resursima, a može tražiti i administratorske privilegije uređaja, što mu omogućava da blokira pokušaje uklanjanja. Ovi mehanizmi zajedno osiguravaju da zlonamjerni softver ostane aktivan, otporan i spreman da reaguje na komande zlonamjernog aktera.

Trojanac dodatno povećava prikrivenost koristeći dozvole poput SYSTEM_ALERT_WINDOW za prikazivanje phishing prekrivača i WAKE_LOCK za održavanje uređaja budnim, što mu omogućava kontinuirano snimanje podataka i komunikaciju.

 

UTICAJ

Pojava RadzaRat zlonamjernog softvera za Android ima značajan uticaj na bezbjednosni pejzaž. Kao napredni oblik prijetnje, on pokazuje evoluciju sajber napada i njihov potencijal da ugroze lične i korporativne podatke. Posebno zabrinjava činjenica da RadzaRat može djelovati neotkriveno konvencionalnim bezbjednosnim rješenjima, stvarajući opasan prozor ranjivosti u savremenom digitalnom okruženju.

Oslanjanje na besplatne infrastrukturne usluge dodatno ističe demokratizaciju zlonamjernih aktivnosti, jer i akteri sa skromnim znanjem mogu koristiti moćne alate za nadzor uz mali napor. Takav trend ima dalekosežne posljedice: narušava povjerenje u postojeće mjere zaštite i naglašava potrebu za snažnijom odbranom.

Javna dostupnost RadzaRat softvera putem GitHub platforme otvara važna pitanja o odgovornosti servisa za skladištenje kôda. Lakoća širenja kroz ovakve kanale ukazuje na ozbiljnu prazninu u kolektivnom pristupu sajber bezbjednosti.

Uticaj na korisnike je dvostruk: njihovi lični podaci mogu biti direktno ugroženi, dok istovremeno slabi osjećaj sigurnosti, jer RadzaRat pokazuje da ni naizgled čvrsta odbrana nije nepogrešiva. Time se dodatno narušava povjerenje u digitalne sisteme.

Organizacije se suočavaju sa još težim posljedicama. RadzaRat može ugroziti osjetljive korporativne podatke, što dovodi do reputacione štete i finansijskih gubitaka. Njegova sposobnost da ostane neprimijećen u odnosu na standardna bezbjednosna rješenja samo pojačava ozbiljnost prijetnje.

 

ZAKLJUČAK

Novi Android trojanac RadzaRat pokazuje koliko se mobilne prijetnje brzo razvijaju u savremenom digitalnom ekosistemu. Mobilni uređaji, kao nezaobilazni dio svakodnevnog života, postaju sve atraktivnija meta zlonamjernih aktera koji nastoje iskoristiti ranjivosti i neovlašteno pristupiti osjetljivim podacima.

Posebno zabrinjava činjenica da je RadzaRat lako dostupan putem javnih platformi poput GitHub i Render[.]com, što predstavlja svojevrsnu demokratizaciju razvoja i distribucije mobilnog zlonamjernog softvera. Time se otvara prostor i za manje iskusne aktere da koriste napredne alate za nadzor sposobne da ugroze privatnost korisnika.

Za operativnu bezbjednost, RadzaRat se oslanja na Telegram kao kanal za šifrovanu komunikaciju, čime zlonamjerni saobraćaj postaje teže uočljiv. Istovremeno, korištenje besplatne infrastrukture Render.com omogućava održavanje bez značajnih troškova ili potrebe za sopstvenim serverima, što dodatno olakšava distribuciju.

Ovakvi trendovi jasno ukazuju da organizacije moraju ponovo sagledati svoje strategije mobilne bezbjednosti. Fokus na otkrivanje ponašanja, strože kontrole dozvola, pažljivije upravljanje instalacijama aplikacija i sveobuhvatno upravljanje uređajima postaju ključni koraci za ublažavanje rizika.

RadzaRat je, dakle, ilustrativan primjer kako nove prijetnje zahtijevaju stalnu prilagodbu bezbjednosnih pristupa. Samo razumijevanjem ovih obrazaca i njihovog uticaja, organizacije i korisnici mogu se adekvatno pripremiti za izazove koji se neprestano mijenjaju u oblasti mobilne bezbjednosti.

 

PREPORUKE

Zaštita od novih prijetnji poput RadzaRat zlonamjernog softvera zahtjeva proaktivan pristup koji uključuje više slojeva odbrane:

1. Organizacije bi trebalo da ograniče pristup osjetljivim funkcijama kao što su Usluge pristupačnosti, administratorski pristup uređaju i mogućnosti preklapanja na Android uređajima. Ovo se može postići implementacijom politika u okviru sistema za upravljanje mobilnim uređajima (eng. mobile management system – MDM) ili upravljanja mobilnošću organizacije (eng. enterprise mobility management – EMM). Ograničavanjem ovih privilegija, organizacije mogu spriječiti zlonamjerne aplikacije da ih iskoriste.
2. Korisnici bi trebalo redovno da pregledaju liste dozvola svojih instaliranih aplikacija kako bi se uvjerili da nije odobren nikakav sumnjiv ili nepotreban pristup. Ovo uključuje provjeru neobičnih zahtjeva koje su podjele nedavno preuzete aplikacije i opozivanje onih koji se smatraju neopravdanim.
3. Organizacije mogu da primjene minimalne verzije operativnog sistema, zahtevaju zaključavanje ekrana i zahtevaju šifrovanje na upravljanim uređajima. Ova podešavanja pomažu u sprječavanju iskorištavanja poznatih ranjivosti u starijim operativnim sistemima i osiguravaju da osjetljivi podaci ostanu zaštićeni čak i ako je uređaj izgubljen ili ukraden.
4. Kako bi se spriječilo instalacija neprovjerenih APK datoteka sa GitHub platforme, foruma ili direktnih veza, organizacije bi trebalo da blokiraju bočno učitavanje na upravljanim uređajima. Ova mjera sprečava korisnike da instaliraju aplikacije koje nije odobrilo IT odjeljenje njihove organizacije.
5. Organizacije mogu da koriste listu dozvoljenih aplikacija kako bi osigurale da se samo provjerene i pouzdane aplikacije instaliraju na Android uređajima kojima upravlja kompanija. Održavanjem liste dozvoljenih aplikacija, organizacije mogu spriječiti instalaciju zlonamjernog softvera poput RadzaRat zlonamjernog softvera.
6. Korisnici i organizacije bi trebalo redovno da provjeravaju ažuriranja za operativni sistem uređaja i da ih instaliraju što je prije moguće. Ovo osigurava da se sve poznate ranjivosti isprave prije nego što ih zlonamjerni akteri mogu iskoristiti.
7. Prilikom preuzimanja aplikacija, korisnici bi trebalo da se drže zvaničnih prodavnica aplikacija poput Google Play, Amazon ili Samsung Galaxy prodavnice, umjesto da bočno učitavaju APK datoteke iz nepoznatih izvora. Zvanične prodavnice imaju ugrađene bezbjednosne mjere kako bi spriječile distribuciju zlonamjernog softvera.
8. Korisnici treba da budu oprezni sa bilo kojom aplikacijom koja zahtjeva pristup osjetljivim funkcijama kao što su Usluge pristupačnosti, administratorski pristup uređaju ili mogućnosti preklapanja, osim ako nisu apsolutno neophodne za funkcionalnost aplikacije. Ako aplikacija zahtjeva ove privilegije, a one djeluju nepotrebno, to može ukazivati na potencijalni bezbjednosni rizik.
9. Organizacije mogu zahvatiti od korisnika da omoguće autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) na svojim uređajima kada pristupaju resursima kompanije na daljinu. Ovo dodaje dodatni sloj zaštite od neovlaštenog pristupa zahtijevanjem i lozinke i drugog oblika provjere, kao što je otisak prsta ili SMS kôd.
10. Korisnici treba da instaliraju renomirane antivirusne aplikacije posebno dizajnirane za Android kako bi omogućili dodatne slojeve odbrane od zlonamjernog softvera poput RadzaRat zlonamjernog softvera. Ovi alati mogu da otkriju i uklone zlonamjerni softver prije nego što izazove štetu.
11. Da bi se spriječio gubitak zbog kompromitovanja ili krađe uređaja, korisnici treba redovno da prave rezervne kopije svojih važnih datoteka koristeći servise za skladištenje u oblaku kao što su Google Drive ili Dropbox. Ovo osigurava da osjetljive informacije ostanu dostupne čak i ako je primarni uređaj izgubljen ili kompromitovan.
12. Organizacije mogu da primjene namjenska rješenja dizajnirana posebno za otkrivanje i sprječavanje mobilnih prijetnji poput RadzaRat zlonamjernog softvera na uređajima kojima upravlja kompanija. Ovi alati pružaju mogućnosti praćenja, otkrivanja i reagovanja u realnom vremenu kako bi se ublažili potencijalni bezbjednosni rizici.
13. Korisnici treba da budu obaviješteni o opasnostima povezanim sa bočnim učitavanjem APK datoteka iz nepoznatih izvora ili instaliranjem aplikacija koje nije odobrilo IT odjeljenje njihove organizacije. Ova edukacija može pomoći u sprječavanju slučajnog preuzimanja zlonamjernog softvera poput RadzaRat zlonamjernog softvera.
14. Organizacije treba redovno da sprovode temeljne bezbjednosne revizije kako bi identifikovale potencijalne ranjivosti u svom mobilnom ekosistemu, uključujući uređaje, aplikacije i mrežne veze. Ovi nalazi informišu ciljane strategije ublažavanja koje se bave specifičnim rizicima identifikovanim tokom procesa revizije.
15. U slučaju stvarnog ili sumnjivog kompromitovanja prijetnjama sličnim RadzaRat zlonamjernom softveru, organizacije treba da imaju dobro definisan plan odgovora na sajber prijetnju. Takav plan obuhvata jasno utvrđene procedure za obuzdavanje napada, njegovo iskorjenjivanje i oporavak sistema, kao i aktivnosti nakon incidenta koje doprinose smanjenju štete i jačanju buduće otpornosti.
16. Korisnici i IT stručnjaci mogu biti informisani o novim mobilnim prijetnjama poput RadzaRat zlonamjernog softvera putem renomiranih izvora kao što su blogovi o sajber bezbjednosti, istraživački izvještaji vodećih organizacija ili zvanična saopštenja kompanije Google u vezi sa ranjivostima i ispravkama vezanim za Android.

Primjenom ovih preporuka, korisnici mogu značajno smanjiti rizik od napada RadzaRat zlonamjernog softvera i sličnih prijetnji, te time povećati bezbjednost svojih mobilnih uređaja.