A támadók egy új, RatMilad névre keresztelt kémprogramot használtak vállalati Android-eszközök ellen, és hasznos alkalmazásnak álcázták, hogy megkerüljék egyes országok internetes korlátozásait.
A Zimperium zLabs kutatói szerint a kampány egyelőre a Közel-Keleten működik, és széles körben törekszik az áldozatok személyes és vállalati információinak összegyűjtésére.
A RatMilad eredeti verziója a Text Me nevű VPN- és telefonszám-hamisító alkalmazás mögé bújt – derült ki a kutatók szerdán megjelent blogbejegyzés.
Az alkalmazás funkciója állítólag lehetővé teszi a felhasználó számára, hogy a telefonján keresztül igazolja a közösségimédia-fiókját – „egy gyakori technika, amelyet a közösségi média felhasználói olyan országokban használnak, ahol a hozzáférés korlátozott lehet, vagy ahol esetleg egy második, ellenőrzött fiókra van szükség” – írja a Zimperium zLabs. Nipun Gupta kutató írta a bejegyzésben.
Nemrég azonban a kutatók felfedezték a RatMilad kémprogram élő mintáját, amelyet a NumRent, a Text Me átnevezett és grafikusan frissített változata terjeszt egy Telegram csatornán keresztül. A fejlesztők egy termékwebhelyet is létrehoztak az alkalmazás reklámozására és terjesztésére, hogy megpróbálják becsapni az áldozatokat, hogy elhiggyék, az alkalmazás jogos.
"Úgy gondoljuk, hogy a RatMiladért felelős rosszindulatú szereplők megszerezték a kódot az AppMilad csoporttól, és egy hamis alkalmazásba integrálták, hogy eljussanak a gyanútlan áldozatokhoz" - írta Gupta.
Gupta hozzátette, hogy a támadók a Telegram csatornát arra használják, hogy „szociális manipulációval ösztönözzék a hamis applikáció oldalratöltését”, valamint „jelentős engedélyek” engedélyezését az eszközön.
A telepítést követően, és miután a felhasználó lehetővé tette az alkalmazás számára, hogy több szolgáltatáshoz is hozzáférjen, a RatMilad betöltődik, így a támadók szinte teljes irányítást biztosítanak az eszköz felett. Ezután hozzáférhetnek az eszköz kamerájához, hogy képeket készítsenek, videót és hangot rögzítsenek, pontos GPS-helyzeteket kapjanak, és képeket nézzenek meg az eszközről, többek között – írta Gupta.
A RatMilad megkapja a RAT-ty: Erőteljes adatlopót
A telepítést követően a RatMilad egy fejlett távoli hozzáférésű trójaihoz (RAT) hasonlóan hozzáfér, amely parancsokat fogad és hajt végre különféle adatok összegyűjtésére és kiszűrésére, valamint egy sor rosszindulatú művelet végrehajtására.
„Hasonlóan más mobil kémprogramokhoz, amelyeket láttunk, az ezekről az eszközökről ellopott adatok felhasználhatók vállalati magánrendszerekhez való hozzáférésre, áldozatok zsarolására és még sok másra” – írta Gupta. "A rosszindulatú szereplők ezután feljegyzéseket készíthetnek az áldozatról, letölthettek minden ellopott anyagot, és más aljas gyakorlatokhoz gyűjthettek információkat."
Működési szempontból a RatMilad különféle kéréseket hajt végre egy parancs- és vezérlőszervernek bizonyos jobID és requestType alapján, majd a végtelenségig várakozik a különféle feladatokra, amelyeket végre tud hajtani az eszközön – mondták a kutatók.
Ironikus módon a kutatók akkor vették észre a kémprogramot, amikor nem sikerült megfertőzni az ügyfél vállalati eszközét. Azonosítottak egy alkalmazást, amely a hasznos terhet szállította, és folytatták a vizsgálatot, amelynek során felfedeztek egy Telegram-csatornát, amelyet a RatMilad minta szélesebb körű terjesztésére használnak. A bejegyzést több mint 4,700-szor nézték meg, több mint 200 külső megosztással, az áldozatok többnyire a Közel-Keleten találhatók.
A RatMilad kampány adott példánya már nem volt aktív a blogbejegyzés írásakor, de lehetnek más Telegram-csatornák. A jó hír az, hogy a kutatók eddig nem találtak bizonyítékot a RatMiladra a hivatalos Google Play alkalmazásboltban.
A spyware dilemma
Nevéhez híven a kémprogramokat úgy tervezték, hogy az árnyékban leselkedjenek, és csendben futjanak az eszközökön, hogy figyeljék az áldozatokat anélkül, hogy felhívnák a figyelmet.
A kémprogramok azonban maguk is kikerültek a korábban burkolt felhasználás pereméről a mainstreambe, elsősorban annak a tavalyi kasszasiker hírnek köszönhetően, hogy az izraeli székhelyű NSO Group által kifejlesztett Pegasus spyware. autoriter kormányok visszaéltek vele újságírók, emberi jogi csoportok, politikusok és ügyvédek után kémkedni.
Különösen az Android készülékek voltak sebezhetőek a spyware kampányokkal szemben. A Sophos kutatói feltárták Android spyware új változatai 2021 novemberében kapcsolódott egy közel-keleti APT csoporthoz. A Google TAG elemzése A májusban közzétett közlemény azt jelzi, hogy a világ legkevesebb nyolc kormánya vásárol az Android nulladik napi exploitjait titkos megfigyelési célokra.
Még a közelmúltban a kutatók felfedezték a moduláris kémprogramok vállalati szintű Android családját remete névre keresztelték kazahsztáni állampolgárok megfigyelését kormányuk által.
A kémprogramokat övező dilemma az, hogy a kormányok és hatóságok jogszerűen használhatják azokat a szankcionált megfigyelési műveletek során a bűncselekmények nyomon követésére. Valóban, a ca jelenleg a kémprogramok értékesítésének szürke terében működő cégek – köztük az RCS Labs, az NSO Group, A FinFisher alkotója a Gamma Group, az izraeli Candiru cég és az orosz Positive Technologies – azt állítják, hogy csak legális hírszerzési és végrehajtó szerveknek adják el.
A legtöbben azonban elutasítják ezt az állítást, beleértve az Egyesült Államok kormányát is, amely nemrégiben szankcionálták e szervezetek közül többen hozzájárultak az emberi jogok megsértéséhez, valamint újságírók, emberi jogi jogvédők, másként gondolkodók, ellenzéki politikusok, üzleti vezetők és mások célba vételéhez.
Amikor a tekintélyelvű kormányok vagy a fenyegetések szereplői kémprogramokat szereznek, az valóban rendkívül csúnya üzletté válhat – olyannyira, hogy sok vita folyik arról, mit kell tenni a kémprogramok további létezésével és értékesítésével kapcsolatban. Vannak, akik ezt hiszik a kormányoknak kell dönteniük ki vásárolhatja meg – ami szintén problémás lehet, attól függően, hogy a kormány milyen indítékokat használ a használatára.
Egyes vállalatok saját kezükbe veszik az ügyet, hogy segítsenek megvédeni a korlátozott számú felhasználót, akiket kémprogramok célozhatnak meg. Az Apple – amelynek iPhone készülékei a Pegasus kampányban veszélyeztetettek közé tartoztak – a közelmúltban új funkciót jelentett be iOS-en és macOS-en is, az ún. Zárolási mód Ez automatikusan zárolja a rendszer minden olyan funkcióját, amelyet még a legkifinomultabb, államilag szponzorált zsoldos kémprogramok is eltéríthetnek, és ezzel veszélyeztethetik a felhasználói eszközöket – közölte a vállalat.
A kémprogramok visszaszorítására tett erőfeszítések ellenére a RatMilad és a Hermit közelmúltbeli felfedezései azt mutatják, hogy ez idáig nem tántorították el a fenyegető szereplőket attól, hogy kémprogramokat fejlesszenek és szállítsanak az árnyékban, ahol továbbra is ott lapulnak, gyakran észrevétlenül.
