En el mundo de la ciberseguridad, los Remote Access Trojans (RATs) son como sombras sigilosas que pueden colarse en nuestros dispositivos. En este artículo, exploraremos qué son los RATs, cómo podrían infiltrarse y, para darle un giro práctico, realizaremos una demostración utilizando Telegram como herramienta y así evadir ciertos controles de seguridad.

¿Qué es un RAT?

Los RATs, son un tipo de Troyano de Acceso Remoto, son programas maliciosos (Malware) diseñados tanto como para dispositivos móviles y Desktops, permiten a un atacante acceder y controlar un dispositivo de forma remota. Imagina una puerta trasera digital que puede abrirse sin que lo notes, y además puedan acceder a toda tu información, suena increíble, pero no lo es.

¿Cómo Se Infiltra?

Los cibercriminales suelen aprovecharse de la confianza de las personas utilizando como medio de propagación el correo electrónico con archivos adjuntos maliciosos o enlaces engañosos. Una vez que logran infiltrarse, pueden operar desde lugar remotos, hacerse del control total de tu dispositivo, además de exfiltrar toda tu información. Si lo pensamos detenidamente, hay muchas posibilidades de que un troyano como este se infiltre en nuestros dispositivos, solo Imagina la cantidad de personas que descargan APPs modificadas desde sus dispositivos móviles para evadir el pago de versiones premium, todo por fuera de las tiendas oficiales, estas versiones modificadas pueden perfectamente estar infectadas y funcionar a la perfección sin que tú lo notes.

Los Malware tipo RAT más detectados hasta la fecha:

RAT para Desktops:

Qbot (Qakbot):

En Primer lugar (5% de impacto a nivel global), este Malware multipropósito desde 2008, se distribuye principalmente por correo no deseado. Roba credenciales, graba pulsaciones de teclas y despliega otros malwares, con avanzadas técnicas de evasión.

FormBook:

 En Segundo lugar (4% de impacto global) este Infostealer (Malware que roba información) dirigido a Windows, comercializado como Malware as a Service (MaaS). Roba credenciales, captura pantallas y ejecuta comandos según órdenes del servidor C&C.

Remcos:

Tercer lugar, con ascenso por campañas de descargadores maliciosos. Este RAT presente desde 2016, distribuido a través de documentos maliciosos o descargadores. Capaz de eludir la seguridad de Windows UAC (Control de Cuentas de Usuario), obtiene acceso remoto, roba información y realiza actividades maliciosas.

RAT para Dispositivos Móviles:

Anubis:

Ocupó el primer lugar como el Malware móvil más prevalente. Malware troyano bancario diseñado para Android. Ha evolucionado para incluir funciones de RAT, keylogger, grabación de audio y características de ransomware. Detectado en cientos de aplicaciones en Google Store.

SpinOk:

Segundo lugar en la lista de Malware móvil Módulo de software Android que opera como spyware. Recopila información de archivos en dispositivos y la transfiere a actores maliciosos. Presente en más de 100 aplicaciones de Android, descargado más de 421 millones de veces hasta mayo de 2023.

AhMyth:

Tercer lugar en la clasificación de Malware móvil. Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones Android en tiendas y sitios web. Capaz de recopilar información confidencial, registrar teclas, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara.

Estos son los RATs más detectados según el informe de Check Point Research del año 2023.

Demostración de RAT controlado desde Telegram:

Mostraremos cómo un atacante podría lanzar comandos desde Telegram, pero ¿Por qué desde Telegram? La respuesta es sencilla, tus dispositivos pueden ser infectados con métodos inimaginables, los cibercriminales siempre encontrarán formas nuevas o fuera de lo común, ya que, de alguna forma se debe evadir la detección de los antivirus, si lo piensas bien, una simple conexión a Telegram podría no levantar sospechas. 

El Malware tipo RAT con el que infectamos el dispositivo utiliza una combinación con la API de Telegram y la librería OS de Python, es así como este RAT logra tomar el control del dispositivo, en pocas palabras, este Malware queda escuchando mensajes que nosotros le enviaremos a un BOT, el BOT se comunicará con el dispositivo infectado y ejecutará los comandos por nosotros.