В начале января на GitHub появился Arbitrium — как утверждает автор с ником BenChaliah, это троян удалённого доступа (RAT) для контроля Android, Windows и Linux, не требующий установки никаких исключений брандмауэра или переадресации портов. Сообщается, что он относится к вредоносам класса Fully UnDetectable (FUD) — то есть на данный момент антивирусы его не могут обнаружить.
Согласно описанию на GitHub, Arbitrium открывает доступ к локальным сетям — злоумышленники могут «пробраться» на маршрутизатор жертвы благодаря подменным HTTP-прокси, обнаружить локальные IP-адреса и просканировать их порты. В Arbitrium включены модули наподобие Mimikatz (хакерская утилита для извлечения аутентификационных данных пользователя, вошедшего в систему), но автор заявляет, что в Arbitrium можно легко интегрировать и другие подобные модули. Сам проект был создан из нескольких частей на Java, JS, C, Python, Cordova и VueJS.
Демонстрация работы Arbitrium
На странице Arbitrium на GitHub выделены ключевые особенности трояна:
Согласно описанию на GitHub, Arbitrium открывает доступ к локальным сетям — злоумышленники могут «пробраться» на маршрутизатор жертвы благодаря подменным HTTP-прокси, обнаружить локальные IP-адреса и просканировать их порты. В Arbitrium включены модули наподобие Mimikatz (хакерская утилита для извлечения аутентификационных данных пользователя, вошедшего в систему), но автор заявляет, что в Arbitrium можно легко интегрировать и другие подобные модули. Сам проект был создан из нескольких частей на Java, JS, C, Python, Cordova и VueJS.
Демонстрация работы Arbitrium
На странице Arbitrium на GitHub выделены ключевые особенности трояна:
- FUD — утилита использует простые инструменты, делающие её полностью незаметными для антивирусов. Он основан на netcat и отправляет конвейерные TCP-пакеты для выполнения команд сервера;
- брандмауэр — для использования Arbitrium на компьютере жертвы не нужно добавлять какие-либо исключения в брандмауэр или правила переадресации портов. Сервер представляет собой API с конечными точками, которые получают задачи для конкретной цели. Также троян периодически запрашивает новые инструкции, которые могут быть файлом JavaScript (в случае с Android это сделано благодаря Cordova) или Shell для запуска в терминале.
- стелс-режим и обход агрессивных оптимизаторов расхода заряда аккумулятора — в отличие от стокового Android, некоторые сторонние прошивки (MIUI от Xiaomi, EMUI от Huawei и One UI от Samsung) имеют встроенную функцию оптимизации расхода заряда аккумулятора, которая убивает не только ресурсоёмкие фоновые процессы, но в некоторых случаях даже и легкие. Однако Arbitrium обходит это — его автор прибегнул к использованию легковесного двоичного файла для выполнения незначительных задач в фоновом режиме в добавок к основной утилите.
- веб-интерфейс — у Arbitrium есть веб-приложение, которое позволяет отправлять команды в визуально простом интерфейсе вместо того, чтобы посылать запросы в API.
