Gli aggressori hanno utilizzato un nuovo spyware contro i dispositivi Android aziendali, soprannominato RatMilad e camuffato da app utile per aggirare le restrizioni Internet di alcuni paesi.
Per ora, secondo i ricercatori di Zimperium zLabs, la campagna è operativa in Medio Oriente con un ampio sforzo per raccogliere informazioni personali e aziendali delle vittime.
La versione originale di RatMilad si nascondeva dietro un'app di spoofing di VPN e numeri di telefono chiamata Text Me, hanno rivelato i ricercatori in un post sul blog pubblicato mercoledì.
La funzione dell'app è presumibilmente quella di consentire a un utente di verificare un account di social media tramite il proprio telefono - "una tecnica comune utilizzata dagli utenti di social media in paesi in cui l'accesso potrebbe essere limitato o che potrebbero richiedere un secondo account verificato", Zimperium zLabs ha scritto nel post il ricercatore Nipun Gupta.
Più recentemente, tuttavia, i ricercatori hanno scoperto un campione live dello spyware RatMilad distribuito tramite NumRent, una versione rinominata e graficamente aggiornata di Text Me, tramite un canale Telegram, ha affermato. I suoi sviluppatori hanno anche creato un sito Web del prodotto per pubblicizzare e distribuire l'app, per cercare di ingannare le vittime facendole credere che sia legittima.
"Crediamo che gli autori malintenzionati responsabili di RatMilad abbiano acquisito il codice dal gruppo AppMilad e lo abbiano integrato in un'app falsa per distribuirlo a vittime ignare", ha scritto Gupta.
Gli aggressori utilizzano il canale Telegram per "incoraggiare il sideloading dell'app falsa attraverso l'ingegneria sociale" e l'abilitazione di "autorizzazioni significative" sul dispositivo, ha aggiunto Gupta.
Una volta installato, e dopo che l'utente ha abilitato l'app ad accedere a più servizi, RatMilad si carica, dando agli aggressori il controllo quasi completo sul dispositivo, hanno detto i ricercatori. Possono quindi accedere alla fotocamera del dispositivo per scattare foto, registrare video e audio, ottenere posizioni GPS precise e visualizzare immagini dal dispositivo, tra le altre azioni, ha scritto Gupta.
RatMilad ottiene RAT-ty: potente ladro di dati
Una volta distribuito, RatMilad accede come un Trojan avanzato di accesso remoto (RAT) che riceve ed esegue comandi per raccogliere ed esfiltrare una varietà di dati ed eseguire una serie di azioni dannose, hanno affermato i ricercatori.
"Similmente ad altri spyware mobili che abbiamo visto, i dati rubati da questi dispositivi potrebbero essere utilizzati per accedere a sistemi aziendali privati, ricattare una vittima e altro ancora", ha scritto Gupta. "Gli autori malintenzionati potrebbero quindi produrre note sulla vittima, scaricare eventuali materiali rubati e raccogliere informazioni per altre pratiche nefande."
Da un punto di vista operativo, RatMilad esegue varie richieste a un server di comando e controllo in base a determinati jobID e requestType, quindi rimane in attesa indefinitamente per i vari compiti che può eseguire sul dispositivo, hanno detto i ricercatori.
Paradossalmente, i ricercatori hanno inizialmente notato lo spyware quando non riusciva a infettare il dispositivo aziendale di un cliente. Hanno identificato un'app che forniva il payload e hanno proceduto alle indagini, durante le quali hanno scoperto che un canale Telegram veniva utilizzato per distribuire il campione RatMilad in modo più ampio. Il post è stato visto più di 4,700 volte con più di 200 condivisioni esterne, hanno detto, con le vittime per lo più situate in Medio Oriente.
Quella particolare istanza della campagna RatMilad non era più attiva nel momento in cui è stato scritto il post sul blog, ma potrebbero esserci altri canali Telegram. La buona notizia è che, finora, i ricercatori non hanno trovato alcuna prova di RatMilad nell'app store ufficiale di Google Play.
Il dilemma dello spyware
Fedele al suo nome, lo spyware è progettato per nascondersi nell'ombra e funzionare silenziosamente sui dispositivi per monitorare le vittime senza attirare l'attenzione.
Tuttavia, lo spyware si è spostato dai margini del suo utilizzo precedentemente nascosto per diventare mainstream, grazie soprattutto alla notizia di grande successo diffusa lo scorso anno secondo cui lo spyware Pegasus sviluppato dal gruppo israeliano NSO Group veniva abusato da governi autoritari per spiare giornalisti, gruppi per i diritti umani, politici e avvocati.
In particolare, i dispositivi Android si sono rivelati vulnerabili alle campagne spyware. Lo hanno scoperto i ricercatori di Sophos nuove varianti di spyware Android collegato a un gruppo APT mediorientale nel novembre 2021. Analisi da Google TAG pubblicato a maggio indica che almeno otto governi di tutto il mondo stanno acquistando exploit zero-day Android per scopi di sorveglianza segreta.
Ancora più recentemente, i ricercatori hanno scoperto una famiglia di spyware modulari Android di livello aziendale soprannominato Eremita condurre sorveglianza sui cittadini del Kazakistan da parte del loro governo.
Il dilemma che circonda lo spyware è che può essere utilizzato legittimamente da governi e autorità in operazioni di sorveglianza autorizzate per monitorare attività criminali. Infatti, il caziende che attualmente operano nello spazio grigio della vendita di spyware, tra cui RCS Labs, NSO Group, Il creatore di FinFisher Gamma Group, la società israeliana Candiru e la russa Positive Technologies – sostengono di venderlo solo ad agenzie di intelligence e di polizia legittime.
Tuttavia, la maggior parte respinge questa affermazione, compreso il governo degli Stati Uniti, che recentemente sanzionato molte di queste organizzazioni hanno contribuito ad abusi dei diritti umani e a prendere di mira giornalisti, difensori dei diritti umani, dissidenti, politici dell’opposizione, leader aziendali e altri.
Quando governi autoritari o autori di minacce ottengono spyware, può diventare davvero un affare estremamente pericoloso, al punto che si è discusso molto su cosa fare riguardo alla continua esistenza e vendita di spyware. Alcuni lo credono i governi dovrebbero decidere chi può acquistarlo, il che può anche essere problematico, a seconda delle motivazioni del governo per utilizzarlo.
Alcune aziende stanno prendendo in mano la situazione per proteggere il numero limitato di utenti che potrebbero essere presi di mira dallo spyware. Apple, i cui dispositivi iPhone erano tra quelli compromessi nella campagna Pegasus, ha recentemente annunciato una nuova funzionalità sia su iOS che su macOS chiamata Modalità di blocco che blocca automaticamente qualsiasi funzionalità del sistema che potrebbe essere compromessa anche dallo spyware mercenario più sofisticato e sponsorizzato dallo stato per compromettere il dispositivo di un utente, ha affermato la società.
Nonostante tutti questi sforzi per reprimere lo spyware, le recenti scoperte di RatMilad e Hermit sembrano dimostrare che finora non hanno scoraggiato gli autori delle minacce dallo sviluppare e distribuire spyware nell’ombra, dove continua a nascondersi, spesso senza essere rilevato.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
