Οι επιτιθέμενοι χρησιμοποιούν ένα νέο λογισμικό υποκλοπής κατά των εταιρικών συσκευών Android, που ονομάστηκε RatMilad και μεταμφιέστηκε ως μια χρήσιμη εφαρμογή για να παρακάμψουν τους περιορισμούς στο Διαδίκτυο ορισμένων χωρών.
Προς το παρόν, η εκστρατεία λειτουργεί στη Μέση Ανατολή σε μια ευρεία προσπάθεια συλλογής προσωπικών και εταιρικών πληροφοριών των θυμάτων, σύμφωνα με ερευνητές από το Zimperium zLabs.
Η αρχική έκδοση του RatMilad κρυβόταν πίσω από μια εφαρμογή πλαστογράφησης VPN και τηλεφωνικών αριθμών που ονομάζεται Text Me, αποκάλυψαν οι ερευνητές στο μια ανάρτηση ιστολογίου που δημοσιεύτηκε την Τετάρτη.
Η λειτουργία της εφαρμογής υποτίθεται ότι επιτρέπει σε έναν χρήστη να επαληθεύει έναν λογαριασμό μέσων κοινωνικής δικτύωσης μέσω του τηλεφώνου του — «μια κοινή τεχνική που χρησιμοποιείται από χρήστες μέσων κοινωνικής δικτύωσης σε χώρες όπου η πρόσβαση ενδέχεται να είναι περιορισμένη ή που μπορεί να θέλουν έναν δεύτερο, επαληθευμένο λογαριασμό», Zimperium zLabs έγραψε στην ανάρτηση ο ερευνητής Nipun Gupta.
Πιο πρόσφατα, ωστόσο, οι ερευνητές ανακάλυψαν ένα ζωντανό δείγμα του spyware RatMilad που διανέμεται μέσω του NumRent, μιας μετονομασμένης και γραφικά ενημερωμένης έκδοσης του Text Me, μέσω ενός καναλιού Telegram, είπε. Οι προγραμματιστές της έχουν δημιουργήσει επίσης έναν ιστότοπο προϊόντος για τη διαφήμιση και τη διανομή της εφαρμογής, για να προσπαθήσουν να ξεγελάσουν τα θύματα να πιστέψουν ότι είναι νόμιμη.
«Πιστεύουμε ότι οι κακόβουλοι παράγοντες που είναι υπεύθυνοι για το RatMilad απέκτησαν τον κώδικα από την ομάδα AppMilad και τον ενσωμάτωσαν σε μια ψεύτικη εφαρμογή για να τη διανείμουν σε ανυποψίαστα θύματα», έγραψε ο Gupta.
Οι επιτιθέμενοι χρησιμοποιούν το κανάλι Telegram για να «ενθαρρύνουν την παράπλευρη φόρτωση της ψεύτικης εφαρμογής μέσω της κοινωνικής μηχανικής» και την ενεργοποίηση «σημαντικών αδειών» στη συσκευή, πρόσθεσε ο Gupta.
Μόλις εγκατασταθεί και αφού ο χρήστης ενεργοποιήσει την εφαρμογή να έχει πρόσβαση σε πολλές υπηρεσίες, το RatMilad φορτώνει, δίνοντας στους εισβολείς σχεδόν πλήρη έλεγχο της συσκευής, είπαν οι ερευνητές. Στη συνέχεια, μπορούν να έχουν πρόσβαση στην κάμερα της συσκευής για λήψη φωτογραφιών, εγγραφή βίντεο και ήχου, λήψη ακριβών τοποθεσιών GPS και προβολή φωτογραφιών από τη συσκευή, μεταξύ άλλων ενεργειών, έγραψε ο Gupta.
Το RatMilad αποκτά RAT-ty: Ισχυρός κλέφτης δεδομένων
Μόλις αναπτυχθεί, το RatMilad έχει πρόσβαση σαν ένα προηγμένο Trojan απομακρυσμένης πρόσβασης (RAT) που λαμβάνει και εκτελεί εντολές για τη συλλογή και την εξαγωγή μιας ποικιλίας δεδομένων και την εκτέλεση μιας σειράς κακόβουλων ενεργειών, είπαν οι ερευνητές.
«Όμοια με άλλα κινητά spyware που έχουμε δει, τα δεδομένα που έχουν κλαπεί από αυτές τις συσκευές θα μπορούσαν να χρησιμοποιηθούν για πρόσβαση σε ιδιωτικά εταιρικά συστήματα, εκβιασμό θύματος και πολλά άλλα», έγραψε ο Gupta. «Οι κακόβουλοι ηθοποιοί θα μπορούσαν στη συνέχεια να δημιουργήσουν σημειώσεις για το θύμα, να κατεβάσουν τυχόν κλεμμένο υλικό και να συγκεντρώσουν πληροφορίες για άλλες άθλιες πρακτικές».
Από επιχειρησιακή σκοπιά, ο RatMilad εκτελεί διάφορα αιτήματα σε έναν διακομιστή εντολών και ελέγχου με βάση συγκεκριμένο jobID και requestType και στη συνέχεια μένει και περιμένει επ' αόριστον για τις διάφορες εργασίες που μπορεί να εκτελέσει για να εκτελέσει στη συσκευή, είπαν οι ερευνητές.
Κατά ειρωνικό τρόπο, οι ερευνητές παρατήρησαν αρχικά το spyware όταν απέτυχε να μολύνει την εταιρική συσκευή ενός πελάτη. Εντόπισαν μια εφαρμογή που παρέδιδε το ωφέλιμο φορτίο και προχώρησαν σε έρευνα, κατά την οποία ανακάλυψαν ένα κανάλι Telegram που χρησιμοποιήθηκε για τη διανομή του δείγματος RatMilad ευρύτερα. Η ανάρτηση είχε προβληθεί περισσότερες από 4,700 φορές με περισσότερες από 200 εξωτερικές κοινοποιήσεις, είπαν, με τα θύματα να βρίσκονται κυρίως στη Μέση Ανατολή.
Το συγκεκριμένο παράδειγμα της καμπάνιας RatMilad δεν ήταν πλέον ενεργό τη στιγμή που γράφτηκε η ανάρτηση ιστολογίου, αλλά θα μπορούσαν να υπάρχουν άλλα κανάλια Telegram. Τα καλά νέα είναι ότι, μέχρι στιγμής, οι ερευνητές δεν έχουν βρει κανένα στοιχείο του RatMilad στο επίσημο κατάστημα εφαρμογών Google Play.
Το δίλημμα του Spyware
Πιστό στο όνομά του, το spyware έχει σχεδιαστεί για να παραμονεύει στη σκιά και να λειτουργεί αθόρυβα σε συσκευές για την παρακολούθηση των θυμάτων χωρίς να τραβάει την προσοχή.
Ωστόσο, το λογισμικό υποκλοπής spyware έχει ξεφύγει από το περιθώριο της προηγουμένως κρυφής χρήσης του και εισήλθε στην επικρατούσα τάση, κυρίως χάρη στις υπερπαραγωγικές ειδήσεις που κυκλοφόρησαν πέρυσι ότι το spyware Pegasus αναπτύχθηκε από την ομάδα NSO με έδρα το Ισραήλ. καταχράστηκε από αυταρχικές κυβερνήσεις να κατασκοπεύει δημοσιογράφους, ομάδες ανθρωπίνων δικαιωμάτων, πολιτικούς και δικηγόρους.
Ειδικά οι συσκευές Android είναι ευάλωτες σε εκστρατείες spyware. Οι ερευνητές του Sophos αποκάλυψαν νέες παραλλαγές λογισμικού κατασκοπείας Android συνδέθηκε με μια ομάδα APT Μέσης Ανατολής τον Νοέμβριο του 2021. Ανάλυση από το Google TAG που κυκλοφόρησε τον Μάιο δείχνει ότι τουλάχιστον οκτώ κυβερνήσεις από όλο τον κόσμο αγοράζουν Android zero-day exploits για σκοπούς μυστικής παρακολούθησης.
Ακόμη πιο πρόσφατα, οι ερευνητές ανακάλυψαν μια οικογένεια σπονδυλωτών spyware για εταιρικό επίπεδο Android ονομάστηκε Ερημίτης διεξαγωγή παρακολούθησης πολιτών του Καζακστάν από την κυβέρνησή τους.
Το δίλημμα γύρω από το λογισμικό υποκλοπής spyware είναι ότι μπορεί να έχει νόμιμη χρήση από κυβερνήσεις και αρχές σε εγκεκριμένες επιχειρήσεις παρακολούθησης για την παρακολούθηση της εγκληματικής δραστηριότητας. Πράγματι, το cεταιρείες που δραστηριοποιούνται επί του παρόντος στον γκρίζο χώρο της πώλησης spyware — συμπεριλαμβανομένων των RCS Labs, NSO Group, Ο δημιουργός του FinFisher Gamma Group, η ισραηλινή εταιρεία Candiru και η Russian's Positive Technologies — υποστηρίζουν ότι το πωλούν μόνο σε νόμιμες υπηρεσίες πληροφοριών και επιβολής του νόμου.
Ωστόσο, οι περισσότεροι απορρίπτουν αυτόν τον ισχυρισμό, συμπεριλαμβανομένης της κυβέρνησης των ΗΠΑ, η οποία πρόσφατα κυρώσεις αρκετές από αυτές τις οργανώσεις για τη συμβολή τους σε παραβιάσεις των ανθρωπίνων δικαιωμάτων και τη στόχευση δημοσιογράφων, υπερασπιστών των ανθρωπίνων δικαιωμάτων, αντιφρονούντων, πολιτικών της αντιπολίτευσης, ηγετών επιχειρήσεων και άλλων.
Όταν αυταρχικές κυβερνήσεις ή παράγοντες απειλών αποκτούν λογισμικό υποκλοπής spyware, μπορεί να γίνει πράγματι μια εξαιρετικά δυσάρεστη επιχείρηση — τόσο πολύ που υπήρξε μεγάλη συζήτηση σχετικά με το τι πρέπει να γίνει για τη συνεχιζόμενη ύπαρξη και πώληση του spyware. Κάποιοι το πιστεύουν οι κυβερνήσεις πρέπει να αποφασίσουν ποιος μπορεί να το αγοράσει — κάτι που επίσης μπορεί να είναι προβληματικό, ανάλογα με τα κίνητρα μιας κυβέρνησης να το χρησιμοποιήσει.
Ορισμένες εταιρείες παίρνουν το θέμα στα χέρια τους για να βοηθήσουν στην προστασία του περιορισμένου αριθμού χρηστών που ενδέχεται να στοχοποιηθούν από λογισμικό υποκλοπής spyware. Η Apple – της οποίας οι συσκευές iPhone ήταν μεταξύ εκείνων που παραβιάστηκαν στην καμπάνια Pegasus – ανακοίνωσε πρόσφατα μια νέα λειτουργία τόσο στο iOS όσο και στο macOS που ονομάζεται Λειτουργία κλειδώματος που κλειδώνει αυτόματα κάθε λειτουργικότητα του συστήματος που θα μπορούσε να παραβιαστεί ακόμα και από το πιο εξελιγμένο, χρηματοδοτούμενο από το κράτος μισθοφόρο λογισμικό υποκλοπής spyware για να τεθεί σε κίνδυνο μια συσκευή χρήστη, είπε η εταιρεία.
Παρά όλες αυτές τις προσπάθειες για την καταστολή του spyware, οι πρόσφατες ανακαλύψεις των RatMilad και Hermit φαίνεται να αποδεικνύουν ότι μέχρι στιγμής δεν απέτρεψαν τους παράγοντες απειλών από την ανάπτυξη και την παράδοση spyware στη σκιά, όπου συνεχίζει να κρύβεται, συχνά απαρατήρητο.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
