Angribere har brugt en ny spyware mod enterprise Android-enheder, døbt RatMilad og forklædt som en nyttig app til at omgå nogle landes internetrestriktioner.
Indtil videre opererer kampagnen i Mellemøsten i en bred indsats for at indsamle ofrenes personlige og virksomhedsoplysninger, ifølge forskere fra Zimperium zLabs.
Den originale version af RatMilad gemte sig bag en VPN- og telefonnumre-spoofing-app kaldet Text Me, afslørede forskere i et blogindlæg offentliggjort onsdag.
Appens funktion er angiveligt at gøre det muligt for en bruger at bekræfte en social mediekonto gennem sin telefon - "en almindelig teknik, der bruges af sociale mediebrugere i lande, hvor adgangen kan være begrænset, eller som måske vil have en anden verificeret konto," Zimperium zLabs skrev forsker Nipun Gupta i opslaget.
For nylig har forskere imidlertid opdaget en live prøve af RatMilad-spywaren, der distribueres gennem NumRent, en omdøbt og grafisk opdateret version af Text Me, via en Telegram-kanal, sagde han. Dens udviklere har også lavet et produktwebsted til annoncering og distribution af appen for at forsøge at narre ofre til at tro, at det er legitimt.
"Vi mener, at de ondsindede aktører, der er ansvarlige for RatMilad, har erhvervet koden fra AppMilad-gruppen og integreret den i en falsk app til at distribuere til intetanende ofre," skrev Gupta.
Angribere bruger Telegram-kanalen til at "opmuntre sideloading af den falske app gennem social engineering" og aktivering af "betydelige tilladelser" på enheden, tilføjede Gupta.
Når den er installeret, og efter at brugeren har aktiveret appen for at få adgang til flere tjenester, indlæses RatMilad, hvilket giver angribere næsten fuldstændig kontrol over enheden, sagde forskere. De kan derefter få adgang til enhedens kamera for at tage billeder, optage video og lyd, få præcise GPS-placeringer og se billeder fra enheden, blandt andre handlinger, skrev Gupta.
RatMilad får RAT-ty: Kraftig Data-Stealer
Når den først er installeret, får RatMilad adgang som en avanceret fjernadgangs-trojaner (RAT), der modtager og udfører kommandoer til at indsamle og eksfiltrere en række data og udføre en række ondsindede handlinger, sagde forskere.
"I lighed med andre mobile spyware, vi har set, kunne data stjålet fra disse enheder bruges til at få adgang til private virksomhedssystemer, afpresning af et offer og mere," skrev Gupta. "De ondsindede aktører kunne derefter producere noter om offeret, downloade alt stjålet materiale og indsamle efterretninger til andre slem praksis."
Fra et operationelt perspektiv udfører RatMilad forskellige anmodninger til en kommando-og-kontrol-server baseret på bestemt jobID og requestType, og derefter dvæler og venter på uendeligt mange opgaver, den kan udføre for at udføre på enheden, sagde forskere.
Ironisk nok bemærkede forskere i første omgang spywaren, da den ikke kunne inficere en kundes virksomhedsenhed. De identificerede en app, der leverede nyttelasten og fortsatte med at undersøge, hvorunder de opdagede en Telegram-kanal, der blev brugt til at distribuere RatMilad-prøven bredere. Opslaget var blevet set mere end 4,700 gange med mere end 200 eksterne delinger, sagde de, med ofrene for det meste beliggende i Mellemøsten.
Det særlige tilfælde af RatMilad-kampagnen var ikke længere aktiv på det tidspunkt, hvor blogindlægget blev skrevet, men der kunne være andre Telegram-kanaler. Den gode nyhed er, at forskere indtil videre ikke har fundet beviser for RatMilad i den officielle Google Play app-butik.
Spyware-dilemmaet
Tro mod sit navn er spyware designet til at lure i skyggerne og køre lydløst på enheder for at overvåge ofrene uden at vække opmærksomhed.
Spyware har dog selv bevæget sig ud af kanten af dets tidligere hemmelige brug og ind i mainstream, primært takket være den storslåede nyhed, der brød sidste år om, at Pegasus spyware udviklet af den israelsk-baserede NSO Group blev misbrugt af autoritære regeringer at spionere på journalister, menneskerettighedsgrupper, politikere og advokater.
Især Android-enheder har været sårbare over for spyware-kampagner. Sophos-forskere afslørede nye varianter af Android spyware knyttet til en mellemøstlig APT-gruppe tilbage i november 2021. Analyse fra Google TAG udgivet i maj indikerer, at mindst otte regeringer fra hele kloden køber Android zero-day exploits til hemmelige overvågningsformål.
Endnu for nylig opdagede forskere en Android-familie af modulær spyware i virksomhedskvalitet døbt Eremit udfører overvågning af borgere i Kasakhstan af deres regering.
Dilemmaet omkring spyware er, at det kan have en legitim brug af regeringer og myndigheder i sanktionerede overvågningsoperationer til at overvåge kriminel aktivitet. Faktisk cvirksomheder, der i øjeblikket opererer i det grå område med at sælge spyware - herunder RCS Labs, NSO Group, FinFisher skaberen Gamma Group, det israelske firma Candiru og Ruslands Positive Technologies — fastholder, at de kun sælger det til legitime efterretnings- og håndhævelsesorganer.
De fleste afviser dog denne påstand, herunder den amerikanske regering, som for nylig sanktioneret flere af disse organisationer for at bidrage til menneskerettighedskrænkelser og målretning af journalister, menneskerettighedsforkæmpere, dissidenter, oppositionspolitikere, erhvervsledere og andre.
Når autoritære regeringer eller trusselsaktører anskaffer sig spyware, kan det faktisk blive en ekstremt grim forretning - så meget, at der har været megen debat om, hvad de skal gøre ved den fortsatte eksistens og salget af spyware. Nogle tror det regeringer skal selv bestemme hvem kan købe det - hvilket også kan være problematisk, afhængigt af regeringens motiver for at bruge det.
Nogle virksomheder tager sagen i egen hånd for at hjælpe med at beskytte den begrænsede mængde af brugere, som kan blive ramt af spyware. Apple - hvis iPhone-enheder var blandt de kompromitterede i Pegasus-kampagnen - annoncerede for nylig en ny funktion på både iOS og macOS kaldet Låsetilstand som automatisk låser enhver systemfunktionalitet, der kunne blive kapret af selv den mest sofistikerede, statssponsorerede lejesoldatsspyware for at kompromittere en brugerenhed, sagde virksomheden.
På trods af alle disse bestræbelser på at slå ned på spyware, ser de nylige opdagelser af RatMilad og Hermit ud til at vise, at de hidtil ikke har afskrækket trusselsaktører fra at udvikle og levere spyware i skyggen, hvor det fortsat lurer, ofte uopdaget.
