A família MRAT combina componentes associados a DarkShades e Hawkshaw para controlar dispositivos Android, coletar dados sensíveis e permitir a entrega de cargas adicionais.
| Componente | Rogue, uma família MRAT para Android associada à rede de desenvolvimento e venda mantida por Triangulum e HeXaGoN Dev. |
| Vetor | Distribuição comercial em fóruns da darknet, com oferta de malware Android para compradores que poderiam implantar o aplicativo malicioso contra dispositivos móveis. |
| Impacto | Controle do dispositivo infectado, exfiltração de fotos, localização, contatos, mensagens e outros dados, modificação de arquivos locais e download de cargas adicionais. |
| Prioridade | Reforçar controles contra instalação de aplicativos fora de canais confiáveis, monitorar abuso de permissões móveis e tratar sinais de MRAT como incidente de comprometimento de endpoint móvel. |
| Artefatos | O pacote Rogue foi descrito com dois componentes principais: DarkShades e Hawkshaw; DarkShades tinha relação histórica com Cosmos RAT e com o pacote principal com.cosmos. |
| Atores | Triangulum atuava como operador e vendedor, enquanto HeXaGoN Dev aparece associado ao desenvolvimento de produtos Android, especialmente RATs. |
Rogue é uma família de malware Android classificada como MRAT, uma categoria de ferramenta de acesso remoto móvel voltada a assumir controle amplo sobre o dispositivo comprometido. A atividade está vinculada a uma rede de desenvolvimento e comercialização conduzida por Triangulum, um operador observado em fóruns da darknet desde 2017, e por HeXaGoN Dev, associado ao desenvolvimento de malware para Android. A operação não se limita a um único artefato: o histórico descrito inclui RATs móveis, mineradores de criptomoedas, keyloggers e produtos P2P do tipo Phone to Phone, o que indica uma linha de produção voltada a diferentes formas de monetização e abuso de dispositivos móveis.
O elemento mais relevante para equipes de defesa é a combinação entre capacidade técnica e modelo comercial. Triangulum teria começado com engenharia reversa de malware e avaliação de demanda em fóruns, depois passou a procurar investidores, parceiros e compradores. Em 2017, apresentou um RAT Android capaz de exfiltrar dados sensíveis para um servidor C&C e destruir dados locais, inclusive com referência à remoção do sistema operacional. Após um intervalo de baixa visibilidade, a atividade reapareceu em 2019 com vários produtos anunciados em poucos meses, sugerindo que a operação evoluiu de experimentos individuais para um ecossistema mais organizado de desenvolvimento, venda e suporte informal.
A cadeia técnica descrita para Rogue parte de um aplicativo Android malicioso que, depois de instalado no dispositivo alvo, pode operar como um ponto de controle remoto. A família é apresentada com capacidade de coletar fotos, localização, contatos, mensagens e outros dados armazenados ou acessíveis pelo aparelho. Também há capacidade de modificar arquivos no dispositivo e baixar cargas adicionais, o que amplia o risco após a infecção inicial: o comprometimento não fica restrito ao binário instalado primeiro, pois o operador pode adaptar a ação posterior conforme o valor do alvo, as permissões obtidas e o ambiente do dispositivo.
O pacote Rogue foi descrito como contendo dois componentes principais: DarkShades e Hawkshaw. DarkShades aparece ligado a HeXaGoN Dev e teria sido vendido inicialmente em agosto de 2019, antes de ser transferido a Triangulum poucos dias depois. O nome do pacote principal de DarkShades, com.cosmos, conecta esse componente a Cosmos RAT, produto anterior associado ao mesmo desenvolvedor. Essa relação sugere reaproveitamento ou evolução de base de código dentro do ecossistema, mas não autoriza inferir versões, hashes ou indicadores específicos ausentes. Para a defesa, o ponto central é que Rogue representa uma consolidação de capacidades já comercializadas em produtos Android anteriores, agora agrupadas em uma oferta com apelo maior no mercado clandestino.
A operação comercial também faz parte do risco técnico. Triangulum usava fóruns da darknet para anunciar produtos, criar reputação e atrair compradores. A presença de planos de assinatura e preços acessíveis reduz a barreira de entrada para operadores menos sofisticados, enquanto o suporte de um desenvolvedor especializado em RATs Android aumenta a chance de manutenção do malware ao longo do tempo. Houve ainda indícios de manipulação reputacional, com HeXaGoN Dev se passando por possível comprador para elogiar produtos de Triangulum. Esse comportamento não muda a funcionalidade do malware, mas ajuda a explicar como ferramentas móveis com capacidade invasiva podem alcançar compradores em comunidades criminosas mesmo sem demonstrações técnicas públicas.
A superfície primária é composta por dispositivos Android expostos à instalação de aplicativos maliciosos. O material disponível não identifica uma loja oficial específica, uma campanha de phishing determinada, um pacote distribuído publicamente ou uma lista de versões vulneráveis do sistema operacional. Portanto, a exposição deve ser entendida como risco de comprometimento por aplicativo malicioso implantado no aparelho, especialmente quando o usuário aceita permissões sensíveis, instala software de origem não confiável ou quando um operador consegue posicionar o artefato em um canal que pareça legítimo.
O impacto operacional é maior em ambientes onde smartphones concentram autenticação corporativa, mensagens, contatos, arquivos e dados de localização. Um MRAT com acesso a mensagens e contatos pode afetar investigações, engenharia social e privacidade; com acesso a fotos e arquivos, pode expor material pessoal ou corporativo; com capacidade de baixar cargas adicionais, pode alterar o comportamento do incidente ao longo do tempo. O contexto não sustenta afirmar exploração ativa em escala, vazamento específico ou campanha contra um setor, mas sustenta tratar Rogue como ameaça móvel com potencial de coleta ampla e controle remoto após a instalação.
- Dispositivos Android nos quais um aplicativo malicioso consiga ser instalado e receber permissões sensíveis.
- Usuários que mantêm dados pessoais, credenciais indiretas, mensagens, contatos, fotos ou arquivos corporativos no aparelho.
- Ambientes sem gerenciamento móvel, sem inventário de aplicativos instalados ou sem política clara para instalação fora de canais aprovados.
- Equipes que dependem de telefone para autenticação, comunicação executiva, atendimento operacional ou resposta a incidentes.
A busca defensiva deve concentrar-se em sinais de comportamento de RAT móvel, não em indicadores estáticos inexistentes no material disponível. Em Android, isso inclui aplicativos com permissões incompatíveis com a função declarada, solicitações de acesso a contatos, localização, armazenamento, mensagens e recursos administrativos, além de atividade de rede persistente para infraestrutura externa. Como Rogue é descrito com capacidade de exfiltração para C&C e download de cargas adicionais, a telemetria de proxy, DNS, EDR móvel, MDM e logs de segurança do dispositivo deve ser correlacionada para identificar aplicativos recém-instalados que passam a transmitir dados ou consultar destinos incomuns.
A relação com DarkShades, Hawkshaw e Cosmos RAT ajuda a orientar análise reversa e classificação interna quando amostras suspeitas forem encontradas. O pacote com.cosmos é um detalhe técnico relevante para comparação de famílias, mas não deve ser tratado como indicador único de comprometimento sem validação, porque nomes de pacote podem ser reutilizados, alterados ou imitados. O caminho mais confiável é combinar metadados de pacote, permissões solicitadas, comportamento em sandbox, chamadas a APIs sensíveis, criação ou modificação de arquivos e comunicação externa. Em ambientes corporativos, a investigação deve considerar também eventos de autenticação anômalos originados após o comprometimento do telefone, já que o aparelho pode conter mensagens e mecanismos auxiliares usados em fluxos de identidade.
- Aplicativos Android recentes com permissões amplas para contatos, localização, mensagens, armazenamento e administração do dispositivo.
- Conexões recorrentes de aplicativos móveis para destinos externos sem relação com a função declarada do aplicativo.
- Eventos de download de componentes adicionais ou mudança de comportamento de rede após a instalação inicial.
- Pacotes, certificados de assinatura e nomes internos que indiquem relação com DarkShades, Hawkshaw, Cosmos RAT ou
com.cosmos, sempre com validação técnica adicional. - Alertas de MDM ou EDR móvel envolvendo coleta incomum de dados, alteração de arquivos locais ou tentativa de persistência por permissões abusivas.
A mitigação começa pela redução da superfície de instalação. Organizações que administram dispositivos Android devem aplicar políticas de MDM para restringir instalação de fontes não aprovadas, revisar permissões concedidas a aplicativos, manter inventário atualizado e remover software sem justificativa de negócio. Usuários de alto risco, como executivos, equipes financeiras, administradores de sistemas e profissionais de resposta a incidentes, precisam de controle mais rigoroso sobre aplicativos instalados e alertas de comportamento anômalo, porque um MRAT móvel pode acessar comunicações e dados que não passam pelos endpoints tradicionais.
Quando houver suspeita de comprometimento, a resposta deve preservar evidências antes da limpeza do aparelho. A equipe deve coletar lista de aplicativos, permissões, metadados de pacotes, registros de rede disponíveis, eventos do MDM e alertas do provedor de segurança móvel. A contenção deve remover o dispositivo de fluxos sensíveis, revogar sessões associadas, revisar autenticações recentes e redefinir credenciais quando houver risco de exposição por mensagens, contatos ou arquivos. Como Rogue é descrito com capacidade de baixar cargas adicionais, a ausência de um único binário conhecido não encerra a investigação; é necessário validar comportamento posterior, comunicação externa e alterações locais.
A prevenção também depende de treinamento operacional sem transformar o tema em guia de ataque. A orientação útil é explicar que RATs móveis são distribuídos como aplicativos aparentemente legítimos ou por canais de confiança frágil, e que permissões excessivas são um sinal de risco. Para engenharia e AppSec, o aprendizado é diferente: aplicativos internos devem adotar assinatura, distribuição e verificação robustas para não serem confundidos com software de origem duvidosa, enquanto pipelines móveis precisam proteger chaves de assinatura e artefatos de publicação. Para threat intel, a prioridade é acompanhar a evolução comercial de famílias Android e suas relações de código, sem inferir atribuição além dos nomes e conexões observados.
- Bloquear ou exigir aprovação para instalação de aplicativos fora de canais corporativos definidos.
- Auditar permissões de aplicativos Android e remover concessões incompatíveis com a finalidade do software.
- Investigar dispositivos com comunicação externa incomum, coleta excessiva de dados ou download de componentes adicionais.
- Revogar sessões e revisar autenticações quando um telefone com mensagens, contatos ou dados corporativos for considerado comprometido.
- Correlacionar alertas de MDM, EDR móvel, DNS, proxy e identidade para reconstruir a linha do tempo do incidente.
0 Comentários