Hyökkääjät ovat käyttäneet yritysten Android-laitteita vastaan uutta vakoiluohjelmaa, joka on nimetty RatMiladiksi ja joka on naamioitu hyödylliseksi sovellukseksi kiertääkseen joidenkin maiden Internet-rajoituksia.
Zimperium zLabsin tutkijoiden mukaan kampanja toimii toistaiseksi Lähi-idässä laajasti pyrkien keräämään uhrien henkilökohtaisia ja yritystietoja.
RatMiladin alkuperäinen versio piiloutui Text Me -nimisen VPN- ja puhelinnumerohuijaussovelluksen taakse, tutkijat paljastivat keskiviikkona julkaistu blogikirjoitus.
Sovelluksen toiminnon on tarkoitus antaa käyttäjälle mahdollisuus vahvistaa sosiaalisen median tili puhelimellaan – "yleinen tekniikka, jota sosiaalisen median käyttäjät käyttävät maissa, joissa pääsyä saatetaan rajoittaa tai jotka saattavat haluta toisen, vahvistetun tilin", Zimperium zLabs tutkija Nipun Gupta kirjoitti viestissä.
Äskettäin tutkijat kuitenkin löysivät elävän näytteen RatMilad-vakoiluohjelmista, joita jaetaan NumRentin kautta, joka on uudelleennimetty ja graafisesti päivitetty Text Me -versio Telegram-kanavan kautta, hän sanoi. Sen kehittäjät ovat myös luoneet tuotesivuston sovelluksen mainostamista ja jakelua varten yrittääkseen huijata uhreja uskomaan sen olevan laillista.
"Uskomme, että RatMiladista vastuussa olevat pahantahtoiset toimijat hankkivat koodin AppMilad-ryhmältä ja integroivat sen väärennettyyn sovellukseen jaettavaksi pahaa-aavistamattomille uhreille", Gupta kirjoitti.
Hyökkääjät käyttävät Telegram-kanavaa "kannustaakseen väärennetyn sovelluksen sivulatausta sosiaalisen manipuloinnin avulla" ja "merkittävien käyttöoikeuksien" sallimiseen laitteelle, Gupta lisäsi.
Asennuksen jälkeen ja sen jälkeen, kun käyttäjä on antanut sovellukselle mahdollisuuden käyttää useita palveluita, RatMilad latautuu, antaen hyökkääjille melkein täydellisen hallinnan laitteeseen, tutkijat sanoivat. He voivat sitten käyttää laitteen kameraa ottaakseen kuvia, tallentaakseen videota ja ääntä, saadakseen tarkkoja GPS-sijainteja ja katsella kuvia laitteesta muun muassa, Gupta kirjoitti.
RatMilad saa RAT-ty: Tehokas Data-Stealer
Kun RatMilad on otettu käyttöön, se käyttää kuin edistynyt etäkäyttötroijalainen (RAT), joka vastaanottaa ja suorittaa komentoja kerätä ja suodattaa erilaisia tietoja ja suorittaa erilaisia haitallisia toimia, tutkijat sanoivat.
"Samalla tavalla kuin muut mobiilivakoiluohjelmat, joita olemme nähneet, näistä laitteista varastettuja tietoja voidaan käyttää yksityisten yritysten järjestelmiin pääsyyn, uhrin kiristämiseen ja muuhun", Gupta kirjoitti. "Haitalliset toimijat voisivat sitten tehdä muistiinpanoja uhrista, ladata varastettuja materiaaleja ja kerätä tietoja muita pahoja käytäntöjä varten."
Toiminnallisesta näkökulmasta RatMilad suorittaa erilaisia pyyntöjä komento- ja ohjauspalvelimelle tietyn työtunnisteen ja pyyntötyypin perusteella, minkä jälkeen se odottaa loputtomasti erilaisia tehtäviä, jotka se voi suorittaa suorittaakseen laitteella, tutkijat sanoivat.
Ironista kyllä, tutkijat huomasivat vakoiluohjelman alun perin, kun ne eivät saastuttaneet asiakkaan yrityksen laitetta. He tunnistivat yhden hyötykuorman toimittavan sovelluksen ja jatkoivat tutkintaa, jonka aikana he löysivät Telegram-kanavan, jota käytettiin RatMilad-näytteen levittämiseen laajemmin. Viestiä on katsottu yli 4,700 200 kertaa yli XNUMX ulkopuolisen jakamisen kanssa, ja uhrit olivat pääosin Lähi-idässä.
Tämä tietty RatMilad-kampanjan esiintymä ei ollut enää aktiivinen blogitekstin kirjoittamishetkellä, mutta muita Telegram-kanavia saattoi olla. Hyvä uutinen on, että toistaiseksi tutkijat eivät ole löytäneet todisteita RatMiladista virallisesta Google Play -sovelluskaupasta.
Vakoiluohjelmien ongelma
Nimensä mukaisesti vakoiluohjelmat on suunniteltu piilemään varjoissa ja toimimaan äänettömästi laitteilla valvomaan uhreja kiinnittämättä huomiota.
Vakoiluohjelmat ovat kuitenkin itse siirtyneet pois aiemman salaisen käytönsä rajoista valtavirtaan, mikä johtuu pääasiassa viime vuonna levinneestä huippuuutisesta, että israelilaisen NSO Groupin kehittämä Pegasus-vakoiluohjelma autoritaariset hallitukset käyttivät sitä väärin vakoilla toimittajia, ihmisoikeusryhmiä, poliitikkoja ja asianajajia.
Varsinkin Android-laitteet ovat olleet haavoittuvia vakoiluohjelmakampanjoille. Sophos-tutkijat paljastivat Android-vakoiluohjelmien uudet versiot sidoksissa Lähi-idän APT-ryhmään jo marraskuussa 2021. Google TAGin analyysi toukokuussa julkaistu raportti osoittaa, että ainakin kahdeksan hallitusta eri puolilta maailmaa ostaa Androidin nollapäivän hyväksikäyttöjä salavalvontatarkoituksiin.
Vielä äskettäin tutkijat löysivät yritystason Android-perheen modulaarisia vakoiluohjelmia nimeltä Erakko valvoa Kazakstanin kansalaisia hallituksensa toimesta.
Vakoiluohjelmiin liittyvä ongelma on se, että hallitukset ja viranomaiset voivat käyttää niitä laillisesti seuraavissa valvontatoimissa rikollisen toiminnan valvomiseksi. Todellakin, cyritykset, jotka toimivat tällä hetkellä vakoiluohjelmien myynnin harmaalla alueella – mukaan lukien RCS Labs, NSO Group, FinFisherin luoja Gamma Group, israelilainen yritys Candiru ja Venäjän Positive Technologies - väittävät myyvänsä sitä vain laillisille tiedustelu- ja valvontaviranomaisille.
Useimmat kuitenkin torjuvat tämän väitteen, mukaan lukien Yhdysvaltain hallitus, joka äskettäin seuraamuksia useat näistä järjestöistä myötävaikuttavat ihmisoikeusloukkauksiin ja toimittajiin, ihmisoikeuksien puolustajiin, toisinajattelijoihin, oppositiopoliitikkoihin, yritysjohtajiin ja muihin.
Kun autoritaariset hallitukset tai uhkatoimijat hankkivat vakoiluohjelmia, siitä voi todellakin tulla äärimmäisen ilkeä bisnes – niin paljon, että on keskusteltu paljon siitä, mitä tehdä vakoiluohjelmien jatkuvalle olemassaololle ja myynnille. Jotkut uskovat sen hallitusten pitäisi saada päättää kuka voi ostaa sen – mikä voi myös olla ongelmallista riippuen hallituksen motiiveista käyttää sitä.
Jotkut yritykset ottavat asian omiin käsiinsä auttaakseen suojelemaan rajoitettua määrää käyttäjiä, joihin vakoiluohjelmat voivat kohdistua. Apple – jonka iPhone-laitteet olivat yksi Pegasus-kampanjassa vaarantuneista – julkisti äskettäin uuden ominaisuuden sekä iOS:lle että macOS:lle nimeltä Lukitustila joka lukitsee automaattisesti kaikki järjestelmän toiminnot, jotka jopa kaikkein kehittyneimmät, valtion tukemat palkkasoturivakoiluohjelmat voivat kaapata käyttäjän laitteen vaarantamiseksi, yritys sanoi.
Huolimatta kaikista näistä yrityksistä tukahduttaa vakoiluohjelmia, RatMiladin ja Hermitin viimeaikaiset löydöt näyttävät osoittavan, että ne eivät ole toistaiseksi estäneet uhkatoimijoita kehittämästä ja toimittamasta vakoiluohjelmia varjoissa, joissa ne väijyvät, usein huomaamatta.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
