Los atacantes han estado utilizando un nuevo software espía contra dispositivos Android empresariales, denominado RatMilad y disfrazado como una aplicación útil para sortear las restricciones de Internet de algunos países.
Por ahora, la campaña está operando en Medio Oriente en un amplio esfuerzo por recopilar información personal y corporativa de las víctimas, según investigadores de Zimperium zLabs.
La versión original de RatMilad se escondió detrás de una aplicación de falsificación de VPN y números de teléfono llamada Text Me, revelaron los investigadores en una entrada de blog publicada el miércoles.
Supuestamente, la función de la aplicación es permitir que un usuario verifique una cuenta de redes sociales a través de su teléfono, "una técnica común utilizada por los usuarios de redes sociales en países donde el acceso puede estar restringido o que pueden querer una segunda cuenta verificada", Zimperium zLabs escribió el investigador Nipun Gupta en la publicación.
Sin embargo, más recientemente, los investigadores descubrieron una muestra en vivo del software espía RatMilad que se distribuye a través de NumRent, una versión renombrada y gráficamente actualizada de Text Me, a través de un canal de Telegram, dijo. Sus desarrolladores también han creado un sitio web del producto para publicitar y distribuir la aplicación, para tratar de engañar a las víctimas haciéndoles creer que es legítimo.
“Creemos que los actores maliciosos responsables de RatMilad adquirieron el código del grupo AppMilad y lo integraron en una aplicación falsa para distribuir a las víctimas desprevenidas”, escribió Gupta.
Los atacantes están utilizando el canal de Telegram para "fomentar la carga lateral de la aplicación falsa a través de la ingeniería social" y la habilitación de "permisos significativos" en el dispositivo, agregó Gupta.
Una vez instalado, y después de que el usuario permite que la aplicación acceda a múltiples servicios, RatMilad se carga, dando a los atacantes un control casi total sobre el dispositivo, dijeron los investigadores. Luego pueden acceder a la cámara del dispositivo para tomar fotografías, grabar video y audio, obtener ubicaciones GPS precisas y ver imágenes desde el dispositivo, entre otras acciones, escribió Gupta.
RatMilad obtiene RAT-ty: poderoso ladrón de datos
Una vez implementado, RatMilad accede como un troyano de acceso remoto avanzado (RAT) que recibe y ejecuta comandos para recopilar y filtrar una variedad de datos y realizar una variedad de acciones maliciosas, dijeron los investigadores.
“Al igual que otros programas espía móviles que hemos visto, los datos robados de estos dispositivos podrían usarse para acceder a sistemas corporativos privados, chantajear a una víctima y más”, escribió Gupta. “Los actores maliciosos podrían luego producir notas sobre la víctima, descargar cualquier material robado y recopilar inteligencia para otras prácticas nefastas”.
Desde una perspectiva operativa, RatMilad realiza varias solicitudes a un servidor de comando y control en función de cierto ID de trabajo y tipo de solicitud, y luego permanece y espera indefinidamente las diversas tareas que puede realizar para ejecutar en el dispositivo, dijeron los investigadores.
Irónicamente, los investigadores notaron inicialmente el software espía cuando no pudo infectar el dispositivo empresarial de un cliente. Identificaron una aplicación que entregaba la carga útil y procedieron a investigar, durante la cual descubrieron que se usaba un canal de Telegram para distribuir la muestra de RatMilad de manera más amplia. La publicación había sido vista más de 4,700 veces con más de 200 compartidos externos, dijeron, con las víctimas en su mayoría ubicadas en el Medio Oriente.
Esa instancia particular de la campaña RatMilad ya no estaba activa en el momento en que se escribió la publicación del blog, pero podría haber otros canales de Telegram. La buena noticia es que, hasta el momento, los investigadores no han encontrado ninguna evidencia de RatMilad en la tienda de aplicaciones oficial de Google Play.
El dilema del software espía
Fiel a su nombre, el software espía está diseñado para acechar en las sombras y ejecutarse silenciosamente en los dispositivos para monitorear a las víctimas sin llamar la atención.
Sin embargo, el software espía se ha movido fuera de los márgenes de su uso previamente encubierto y se ha generalizado, gracias principalmente a la noticia de gran éxito que se conoció el año pasado de que el software espía Pegasus desarrollado por NSO Group con sede en Israel estaba siendo abusado por gobiernos autoritarios para espiar a periodistas, grupos de derechos humanos, políticos y abogados.
Los dispositivos Android en particular han sido vulnerables a las campañas de spyware. Los investigadores de Sophos descubrieron nuevas variantes de software espía de Android vinculado a un grupo APT de Medio Oriente en noviembre de 2021. Análisis de Google TAG lanzado en mayo indica que al menos ocho gobiernos de todo el mundo están comprando exploits de día cero de Android con fines de vigilancia encubierta.
Incluso más recientemente, los investigadores descubrieron una familia Android de software espía modular de nivel empresarial. apodado ermitaño realizando vigilancia a los ciudadanos de Kazajstán por parte de su gobierno.
El dilema que rodea al software espía es que puede tener un uso legítimo por parte de los gobiernos y las autoridades en operaciones de vigilancia autorizadas para controlar la actividad delictiva. De hecho, el cLas empresas que actualmente operan en el espacio gris de la venta de spyware, incluidas RCS Labs, NSO Group, Creador de FinFisher Gamma Group, la compañía israelí Candiru y Positive Technologies de Rusia, sostienen que solo lo venden a agencias legítimas de inteligencia y aplicación.
Sin embargo, la mayoría rechaza esta afirmación, incluido el gobierno de EE. UU., que sancionado recientemente varias de estas organizaciones por contribuir a los abusos contra los derechos humanos y atacar a periodistas, defensores de los derechos humanos, disidentes, políticos de la oposición, líderes empresariales y otros.
Cuando los gobiernos autoritarios o los actores de amenazas obtienen software espía, puede convertirse en un negocio extremadamente desagradable, tanto que ha habido mucho debate sobre qué hacer con la existencia y venta continuas de software espía. Algunos creen que Los gobiernos deberían decidir quién puede comprarlo, lo que también puede ser problemático, dependiendo de los motivos del gobierno para usarlo.
Algunas compañías están tomando el asunto en sus propias manos para ayudar a proteger la cantidad limitada de usuarios que pueden ser atacados por spyware. Apple, cuyos dispositivos iPhone se encontraban entre los comprometidos en la campaña de Pegasus, anunció recientemente una nueva característica tanto en iOS como en macOS llamada Modo de bloqueo que bloquea automáticamente cualquier funcionalidad del sistema que pueda ser secuestrada incluso por el spyware mercenario patrocinado por el estado más sofisticado para comprometer el dispositivo de un usuario, dijo la compañía.
A pesar de todos estos esfuerzos para tomar medidas enérgicas contra el spyware, los descubrimientos recientes de RatMilad y Hermit parecen demostrar que hasta ahora no han disuadido a los actores de amenazas de desarrollar y entregar spyware en las sombras, donde continúa acechando, a menudo sin ser detectado.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
