WolfRAT är ett trojanskt virus som tar över smartphones och samlar in personuppgifter från användaren, främst via WhatsApp och Messenger
Forskare från Cisco Talos Security Intelligence and Research Group har upptäckt ett nytt farligt virus som de har döpt till WolfRAT, och som framför allt riktar sig till appar för snabbmeddelanden som Facebook Messenger, Line och framför allt WhatsApp. Det är inte ett nytt virus, utan en ny version av ett känt virus: DenDroid.
Det är närmare bestämt en "RAT", eller Remote Access Trojan. Dessa virus tar kontroll över infekterade enheter för att stjäla personuppgifter och spionera på användaren. I det specifika fallet med WolfRAT är det ett mycket märkligt virus, eftersom det verkar vara en slarvig version av DenDroid: flera döda strängar (dvs. som inte är användbara) och vissa fel har hittats i koden, så mycket att det skadliga programmet inte alltid är effektivt. Viruset som det härstammar från, nämligen DenDroid, är dock fortfarande ganska avancerat och farligt, även om det härstammar från 2015. Men framför allt verkar WolfRAT kunna spåras till en grupp hackare som tros vara upplöst.
WolfRAT: hur det fungerar och vad du riskerar
För tillfället är risken för WolfRAT för italienska användare endast virtuell, eftersom viruset endast har isolerats på enheter i Thailand, där det spreds (precis som för DenDroid) via falska uppdateringsnotiser för Chrome, Flash eller Play Store. När WolfRAT väl är installerad på enheten infekterar den och börjar samla in data som webbläsarhistorik och samtals- och SMS-listor. Men detta är det minsta av det hela, eftersom viruset också kan ta kontroll över kameran och mikrofonen och spela in videor av användarens skärm var 50:e sekund när WhatsApp är öppet. Allt insamlat material skickas sedan till C2-servrar (Command and Control) i Thailand. Att skadlig kod kommer från Thailand verkar också bekräftas av vissa JavaScript-kommandon som är skrivna på det asiatiska landets språk.
Wolf Research är tillbaka?
Enligt Talos forskare kan de servrar som mottar de data som stulits av WolfRAT spåras tillbaka till en välkänd spionprogramsleverantör som heter Wolf Research, samma som utvecklade DenDroid för fem år sedan. Enligt en rapport från 2018 från VirusTotal har Wolf Research tidigare sålt skadlig kod för fjärrövervakning av Windows-, Android- och iOS-enheter till utländska regeringar. Men Wolf Research är officiellt stängt, eftersom det har omvandlats till ett annat företag som heter LokD. Talos hypotes är att det fortfarande finns aktiva personer från Wolf Research och att dessa personer tar över DenDroids kod igen för att omarbeta den till ett nytt och mer kraftfullt virus.