Главная страница » Индикаторы компрометации
0
13 часов
Индикаторы компрометации

ASO RAT: новый арабский троянец для Android угрожает жертвам в Сирии через немецкую инфраструктуру

remote access Trojan

В сетевых тенях операторов угроз появился новый инструмент для целевого наблюдения, демонстрирующий растущую сложность мобильных угроз, нацеленных на региональные конфликты. Речь идёт о платформе ASO RAT - полностью настроенном троянце удалённого доступа (Remote Access Trojan, RAT) для Android, созданном на арабском языке и развёрнутом на инфраструктуре во Франкфурте, но имеющем прямые следы, ведущие в Сирию. Эта платформа предоставляет злоумышленникам полный контроль над скомпрометированными устройствами, превращая смартфоны жертв в инструменты для слежки и кибератак. Опасность усугубляется тем, что последние образцы вредоносного ПО успешно уклоняются от обнаружения антивирусами, а сама операция, судя по всему, ведётся уже почти год.

Описание

Инцидент привлёк внимание общественности после публикации первоначальных данных исследователем под псевдонимом @solostalking в социальной сети X. Последующий автоматизированный анализ инфраструктуры, проведённый экспертами, позволил расширить одну первоначальную точку входа в полную картину операции. Были выявлены два активных сервера управления, четыре домена динамического DNS, восемь образцов вредоносных APK-файлов и история использования четырёх различных хостинг-провайдеров, включая два подключения через спутниковый интернет Starlink, одно из которых было географически привязано к Сирии. Более глубокий анализ панели управления злоумышленников позволил восстановить её архитектуру, включая более 20 API-эндпоинтов и 259 строк пользовательского интерфейса на арабском языке.

Функционал ASO RAT является всеобъемлющим и представляет серьёзную угрозу конфиденциальности и безопасности. После установки на устройство жертвы троянец получает возможность перехвата SMS и истории вызовов, доступа к контактам, файловой системе и буферу обмена. Он может активировать камеру для скрытого фотографирования, непрерывно отслеживать местоположение через GPS, а также перехватывать уведомления от других приложений, включая мессенджеры. Для обеспечения скрытного закрепления в системе (persistence) вредоносная программа использует несколько техник: скрывает свой значок в лаунчере и запрашивает у системы Android исключение из режима оптимизации батареи, что позволяет ей оставаться активной в фоновом режиме. Кроме того, троянец может превратить заражённое устройство в узел для проведения распределённых атак на отказ в обслуживании (DDoS). Для распространения злоумышленники используют APK-файлы, замаскированные под безобидные приложения - читатели PDF и, что особенно показательно, программы, связанные с сирийскими государственными службами, такие как "SyriaDefenseMap" или "GovLens".

Инфраструктура операции базируется на двух виртуальных частных серверах (VPS) во Франкфурте, арендованных у одного и того же провайдера, что подтверждается идентичным контактным email в данных WHOIS. Оба сервера используют нестандартные порты (3000, 8080, 8090) для панели управления и API. Примечательно, что на основном сервере были обнаружены открытыми порты 137 и 445, связанные со службами NetBIOS и SMB для файлового обмена в Windows. Как отмечают эксперты, наличие этих служб на Linux-сервере, выполняющем функции C2, является грубой операционной ошибкой (OPSEC failure), которая не только не имеет практического смысла, но и необоснованно расширяет поверхность атаки на саму инфраструктуру злоумышленников. Более того, всё взаимодействие между заражёнными устройствами и серверами управления происходит по незашифрованному протоколу HTTP, что делает перехват трафика потенциально возможным.

Ключевой особенностью данной операции является сложная многофункциональная панель управления, написанная с использованием фреймворков Django и React. Её обратная разработка выявила продвинутые возможности, такие как встроенный конструктор APK, позволяющий операторам генерировать новые варианты вредоносной программы прямо из веб-интерфейса, меняя иконки, названия и адреса для обратной связи. Панель также поддерживает интеграцию с сервисом Google Firebase Cloud Messaging (FCM) для скрытной отправки команд на устройства жертв через легальную инфраструктуру Google, планирование задач по хищению данных и управление несколькими операторами с разграничением прав доступа (RBAC). Последнее, наряду с тематикой приманок, указывает на то, что ASO RAT может использоваться как услуга (RAT-as-a-Service) или небольшой командой для целенаправленных кампаний наблюдения, а не для массового заражения.

Атрибуция указывает на сирийский след. Во-первых, в одном из исторических записей DNS домен оператора указывал на IP-адрес, принадлежащий сети Starlink и геолоцированный в Сирии. Во-вторых, тематика приманок ("Сирийская карта обороны", "Гослинза") явно рассчитана на аудиторию, вовлечённую в сирийский конфликт - военных, журналистов, сотрудников НПО или оппозиционных активистов. В-третьих, 259 строк интерфейса и комментарии в коде написаны на грамотном, естественном арабском языке, что свидетельствует о том, что разработчик является его носителем. При этом в данных DNS также фигурировал испанский резидентский IP-адрес, что может указывать на связь с сирийской диаспорой в Испании. Ошибки операционной безопасности, такие как оставленный в коде локальный IP-адрес разработчика (192.168.1.112) и разные сообщения об ошибках при неверном логине и пароле, облегчили исследователям анализ и картирование.

Последствия успешного внедрения такого троянца катастрофичны для жертвы. Происходит полная утечка цифровой жизни: переписка, звонки, местоположение, фотографии и файлы попадают в руки злоумышленников. Устройство может быть использовано для атак на третьи стороны, а постоянный доступ к камере и микрофону превращает его в идеальный инструмент для шпионажа. Для специалистов по безопасности эта история служит напоминанием об эволюции региональных угроз. Операторы ASO RAT демонстрируют достаточно высокий уровень технической подготовки, создавая сложную инфраструктуру и постоянно совершенствуя вредоносную программу для обхода антивирусных детектов, что видно по снижению числа срабатываний с 23 в декабре 2025 года до нуля в марте 2026-го. Однако их системные промахи в операционной безопасности оставляют возможности для обнаружения и атрибуции. Основными рекомендациями по защите остаются критическая настороженность при установке приложений из непроверенных источников, особенно с регионально-специфическим контекстом, тщательный контроль запрашиваемых разрешений и использование решений для мобильной безопасности.

Индикаторы компрометации

IPv4

  • 129.224.206.195
  • 129.224.207.215
  • 136.144.35.16
  • 172.111.200.133
  • 216.128.9.226
  • 45.74.4.179
  • 88.3.137.237

Domains

  • aso.ddns.net
  • c-pdf.ddns.net
  • livemap-back.ddns.net
  • new-pdf.ddns.net

URLs

  • http://172.111.200.133:8080/admin/
  • http://172.111.200.133:8090/login
  • http://45.74.4.179:3000/
  • http://45.74.4.179:8080/admin/
  • http://45.74.4.179:8090/

Emails

  • admin@pointtoserver.com

SHA256

  • 050537a47b5463e96a9f3e7ba79c607017faceeb668cef8aa1d5e11a19ff4990
  • 2eda2c838ea696f6ab1e74d2a1fa3c265234a32416a666f0efa3d065d0185552
  • 39901ffa746a6f6ac3de2b36d9e61e0d60b221f4d9510436fd3cb3d2d7362130
  • 3b5adb76e37e4cc999e281068d1f3e6f82cab8055c6b46c2e6de1b6ea8499a7e
  • 86ebb2e4384e3c0d4aa973c07c1d237e3f4042c773f4b2aa5fcd19d8f7383172
  • ee90df061740b8cf0cdce8dba04ff34c205adf3271695e5310d04723dd9a2a47
  • ffcfee12bd160dc67f9b0fbd4462e46e5932840297c611ad2646139295ea019c

Комментарии: 0
Похожие записи
0
17.12.2025
Уязвимости

Уязвимость в сетевых видеорегистраторах Digiever позволяет удалённо выполнять код

vulnerability
В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в микропрограммном обеспечении сетевых видеорегистраторов (NVR) компании DIGIEVER Corporation.