Arbitrium-RAT: troyano de acceso remoto multiplataforma (Windows-Android-Linux)

Arbitrium es un troyano multiplataforma, es un troyano de acceso remoto (RAT), totalmente indetectable (FUD), le permite controlar Android, Windows y Linux y no requiere excepciones de firewall o reenvío de puertos. Da acceso a las redes locales, puede usar los objetivos como un proxy HTTP y acceder al enrutador, descubrir direcciones IP locales y escanear sus puertos. Incluye módulos como Mimikatz, se pueden agregar fácilmente nuevos módulos. 

Arbitrium-RAT: troyano de acceso remoto, totalmente indetectable

Además, si se utiliza Arbitrium con un software de suplantación de DNS, se puede propagar de forma autónoma entre dispositivos (#AutoSpread). Arbitrium es un proyecto de múltiples partes, las partes fueron construidas usando Java, JS, C, Python, Cordova y VueJS.

Características

•   FUD

 El cliente usa herramientas simples que lo hacen completamente indetectable, el troyano basado en netcat principalmente canaliza paquetes TCP para ejecutar los comandos del servidor.

•  Cortafuegos 

Arbitrium no requiere agregar una excepción al firewall o una regla de reenvío de puertos. El servidor es una API con endpoints que recibe tareas para un objetivo específico y otras que el troyano solicita periódicamente para obtener las nuevas instrucciones, las instrucciones pueden ser un archivo JavaScript (la aplicación de Android se hace usando Cordova) o un archivo Shell para ejecutar el terminal / CMD. Una vez que el servidor recibe una tarea para un dispositivo, el primero programa la tarea y luego abre un proceso secundario en el que espera la respuesta del troyano escuchando un puerto efímero dedicado. Por lo tanto, el troyano no necesita escuchar ningún puerto.

•      Optimización de la batería / StealthMode

A diferencia de Stock Android, las personalizaciones como MIUI de Xiaomi, EMUI de Huawei o Android Pie de Samsung ignoran los permisos / excepciones otorgados a una aplicación por el usuario. Entonces, si intenta ejecutar un troyano de Android en segundo plano, en el momento en que la aplicación comience a ejecutar tareas frecuentes o pesadas (en algunos casos incluso livianas) (por ejemplo, enviar solicitudes http periódicamente), se eliminará sin importar los permisos que otorgue el usuario, el sistema operativo ignora por completo la configuración actual, dontkillmyapp.com es un sitio web conocido dedicado a este problema en particular.

El problema mencionado anteriormente fue bastante molesto mientras trabajaba en este proyecto, después de un tiempo descubrí que construir un binario liviano que sigue ejecutando las tareas asignadas en segundo plano mientras MainActivity se detiene justo después de iniciar el binario parece evitar la mayoría de las restricciones e incluso mejorar el rendimiento de la aplicación.

MainActivity recibe un archivo JS del servidor y usa ThreadPoolExecutor para iniciar el binario sin que cuelgue para que salga (Más sobre este StealthMode / BatteryBypass).

•      interfaz web

También hay un panel de control, no es un requisito sino una extensión, es una aplicación web de VueJS simple, una interfaz de usuario que puede usar para controlar los objetivos en lugar de enviar solicitudes directamente a la API. La aplicación web está disponible aquí: Arbitrium WebApp

Instalar y usar

• https://github.com/BenChaliah/Arbitrium-RAT

Ejemplo PowerShell