IncognitoRAT: Un malware multiplataforma para Mac OS X que se puede administrar desde iPhone o iPad

En el mundo Mac OS X ya hemos visto R.A.T. (Remote Administration Tool). Troyanos para Mac OS X que se instalan en el equipo y que permiten al atacante controlar la máquina remotamente, como en el caso de Hellraiser, DarkCometX o BlackHole RAT.

En esta ocasión se trata de una solución multiplataforma escrita en Java, que es una idea que tampoco es nueva, ya que fue utilizada para el famoso Koobface que obligó a cambiar la Wikipedia para recoger que Mac OS X era uno de los sistemas afectados, y que generó la botnet multiplataforma Jnanabot. La creación de bots escritos en Java hace que la creación del agente a instalar en las máquinas Linux, Windows y Mac OS X sea más fácil para el atacante, aunque haya muchos detractores de utilizar Java para estos menesteres.

Figura 1: Panel de control de IncognitoRAT

IncognitoRAT es una solución RAT escrita en Java, que vende a través de su web Team Havoc, y que tiene vídeos demostrativos de cómo funciona la herramienta en Youtube, como aquí podéis ver.

El precio de venta que circula en los foros son cantidades pequeñas, y algunos usuarios reportan que han pagado 60 USD, así que no parece que sea mucho dinero lo que haga falta para hacerse con esta utilidad.

Figura 2: Troyano a la venta con soporte para Mac OS X, iPhone e iPad

El troyano para Windows se distribuye como un fichero .EXE, creado con la utilidad JarToEXE,  que nada más instalarse descarga librerías java necesarias para el bot. Esto hace que sea necesario que la víctima tenga instalado Java en el equipo y que esté online. Las librerías que descarga, según el análisis publicado por McAffe son las siguientes:

- Java Registry Wrapper: Para modificar el registro y ejecutar el troyano en cada reinicio.
- Java Remote Control: Para manejare el teclado y el ratón remotamente.
- JLayer – MP3 Library: Para ejecutar remotamente MP3.
- RNP-VideoPlayer: Para ejecutar vídeos remotamente.
- JavaMail: Para enviar información robada por e-mail.
- Freedom for Media Java: Paquete Open-source que utiliza para grabar imágenes de la webcam.
- JavaUpdater.jar: Para extaer y ejecutar el malware.
- Server.jar: El malware en sí.

Como curiosidad, en los sistemas Windows infectados se ha detectado un curioso mensaje con la White Screen of Death cuando el sistema es crasheado mediante una de las opciones que controla el master de la RAT, y te anuncia que tienes un virus. Curioso.

Figura 3: White Screen of  Death

En cuanto a las versiones Mac, ya habían sido anunciadas hace tiempo, e incluso están anunciadas en su web. Hay que suponer que la migración, al estar desarrollado en Java no será muy compleja, aunque hace un par de meses algún usuario, necesitado de esta característica, reportaba que no había recibido su troyano que funcionara en Mac.

Figura 4: Quejas al troyano con el precio de compra

Quizá la curiosidad más importante es que el programador ha decidido que el troyano pueda ser administrador desde el iPhone o iPad del master, por lo que ha desarrollado un panel de control para los terminales con jailbreak que le permite enviar comandos a las víctimas.

Figura 5: Panel de control en iPhone

Aun con todo lo que se está viendo en estos últimos tiempos en Mac OS X, sorprende ver en Internet todavía a muchos usuarios que niegan la existencia de malware para Mac OS X y cómo, de forma manifiestamente altiva, alientan a los usuarios a no utilizar una solución antimalware.