OmniRAT变种木马被恶意利用

近期，Avast的工作人员针对OmniRAT（跨平台远程管理工具）出台了一份恶意利用分析文件，该文件表明，OmniRAT变种木马可在Android, Windows, Linux 和Mac OS X OS等操作系统上实现其恶意利用功能。

OmniRAT是什么

OmniRAT是一款非常流行的远程控制工具，它的终身许可证服务以及客户端服务仅售25美金和50美金，并且运营商还提供终身维护服务。但是Avast的专家们观察发现，有很多不法之徒利用OmniRAT作为远程控制木马达到非法目的。

利用社会工程学攻击传播

攻击者们利用社会工程学原理来传播OmniRAT变种木马。一位德国用户表示，他的安卓手机收到了一份带有URL链接的手机短信，打开链接后，他根据短信指示输入了自己的PIN密码和号码，短信中声称该用户有不能接收的一份已发送的彩信，因为该手机存在StageFright框架漏洞，而在要求该用户提供信息的网站上，有一份所谓的“彩信服务恢复”的APK文件下载，当用户认为自己的彩信服务确实存在漏洞时，大部分人会下载这份暗含OmniRAT变种木马的“彩信服务恢复”的APK文件。下载后的OmniRAT变种木马会向用户请求众多权限，包括读取短信录音内容等，当用户半信半疑同意后，该OmniRAT变种已经植入用户设备，即使用户醒悟过来删除该app及所属文件，OmniRAT仍然隐秘保存于设备中。

 Avast在一篇博客文章中提到，

“OmniRat的‘特别’版本，目前正在通过社会工程学传播。一位活跃于德国高科技论坛的用户详细描述了OmniRat如何感染他的安卓手机的过程，他在研究之后，得出了OmniRat的变种木马软件正在被恶意利用中的结论。 ”

Avast的恶意软件分析师Nikolaos Chrysaidos解释说：一旦非法分子利用OmniRat变种感染了移动设备，便可以访问受害者的联系人列表来更大范围传播OmniRat变种恶意软件。

“受害者根本不知道他们的设备正处于被监控状态，他们在设备上的每一步操作都被记录并且发送到了国外的一台服务器上。”

Chrysaidos表示：

“一旦罪犯将受害者的联系人列表控制住后，他们可轻易将恶意软件传播给更多的人。最危险的是，在此变种OmniRat中，有一项发送多个SMS短信的功能，通过受感染的设备向可信任联系人发送短信，因此受害者的亲属们会轻易信任收到的URL链接并且感染自己的设备。”

现如今的OmniRat变种类似于当年的另一个木马DroidJack——曾被多个组织用来参与地下违法活动，然而相比于售价210美金的DroidJack，OmniRat可谓为“低成本犯罪”。