תוקפים השתמשו בתוכנת ריגול חדשה נגד מכשירי אנדרואיד ארגוניים, שזכתה לכינוי RatMilad ומחופשת לאפליקציה מועילה כדי לעקוף את מגבלות האינטרנט של כמה מדינות.
לעת עתה, הקמפיין פועל במזרח התיכון במאמץ רחב לאסוף מידע אישי וארגוני של קורבנות, כך לפי חוקרים מ-Zimperium zLabs.
הגרסה המקורית של RatMilad הסתתרה מאחורי אפליקציית VPN ומספרי טלפון לזיוף בשם Text Me, חשפו חוקרים ב פוסט בבלוג שפורסם ביום רביעי.
תפקידה של האפליקציה הוא לכאורה לאפשר למשתמש לאמת חשבון מדיה חברתית דרך הטלפון שלו - "טכניקה נפוצה המשמשת משתמשי מדיה חברתית במדינות שבהן הגישה עשויה להיות מוגבלת או שאולי ירצו חשבון שני מאומת", Zimperium zLabs כתב החוקר ניפון גופטה בפוסט.
עם זאת, לאחרונה, חוקרים גילו דגימה חיה של תוכנת הריגול RatMilad המופצת דרך NumRent, גרסה ששמה שונה ומעודכנת גרפית של Text Me, באמצעות ערוץ טלגרם, לדבריו. המפתחים שלה גם יצרו אתר מוצר לפרסום והפצה של האפליקציה, כדי לנסות לרמות קורבנות להאמין שהיא לגיטימית.
"אנו מאמינים שהשחקנים הזדוניים האחראים על RatMilad רכשו את הקוד מקבוצת AppMilad ושילבו אותו באפליקציה מזויפת להפצה לקורבנות תמימים", כתב גופטה.
תוקפים משתמשים בערוץ הטלגרם כדי "לעודד את העמסת האפליקציה המזויפת באמצעות הנדסה חברתית" והפעלת "הרשאות משמעותיות" במכשיר, הוסיפה גופטה.
לאחר ההתקנה, ולאחר שהמשתמש מאפשר לאפליקציה לגשת למספר שירותים, RatMilad נטען, ומעניק לתוקפים שליטה כמעט מלאה על המכשיר, אמרו החוקרים. לאחר מכן הם יכולים לגשת למצלמת המכשיר כדי לצלם תמונות, להקליט וידאו ואודיו, לקבל מיקומי GPS מדויקים ולצפות בתמונות מהמכשיר, בין שאר הפעולות, כתב גופטה.
RatMilad מקבל RAT-ty: גנב נתונים רב עוצמה
לאחר הפריסה, RatMilad ניגשת כמו טרויאני גישה מרחוק מתקדם (RAT) שמקבל ומבצע פקודות כדי לאסוף ולהוציא מגוון של נתונים ולבצע מגוון פעולות זדוניות, אמרו החוקרים.
"בדומה לתוכנות ריגול ניידות אחרות שראינו, הנתונים שנגנבו מהמכשירים הללו יכולים לשמש כדי לגשת למערכות ארגוניות פרטיות, לסחוט קורבן ועוד", כתב גופטה. "אז השחקנים הזדוניים יכלו להפיק הערות על הקורבן, להוריד כל חומר גנוב, ולאסוף מידע מודיעיני למנהגים מרושעים אחרים."
מנקודת מבט תפעולית, RatMilad מבצעת בקשות שונות לשרת פיקוד ובקרה על סמך jobID ו-requestType מסוימים, ולאחר מכן מתעכבת וממתינה ללא הגבלת זמן למשימות השונות שהיא יכולה לבצע כדי לבצע במכשיר, אמרו החוקרים.
למרבה האירוניה, חוקרים הבחינו בתחילה בתוכנת הריגול כאשר היא לא הצליחה להדביק את המכשיר הארגוני של לקוח. הם זיהו אפליקציה אחת שמספקת את המטען והמשיכו לחקור, במהלכו גילו ערוץ טלגרם המשמש להפצת מדגם RatMilad בצורה רחבה יותר. הפוסט נצפה יותר מ-4,700 פעמים עם יותר מ-200 שיתופים חיצוניים, לדבריהם, כאשר הקורבנות ממוקמים בעיקר במזרח התיכון.
המקרה המסוים הזה של מסע הפרסום RatMilad כבר לא היה פעיל בזמן כתיבת הפוסט בבלוג, אבל יכולים להיות ערוצי טלגרם אחרים. החדשות הטובות הן שעד כה חוקרים לא מצאו שום עדות ל-RatMilad בחנות האפליקציות הרשמית של Google Play.
דילמת תוכנות הריגול
נאמנה לשמה, תוכנות ריגול נועדו לארוב בין הצללים ולרוץ בשקט במכשירים כדי לפקח על הקורבנות מבלי לעורר תשומת לב.
עם זאת, תוכנת הריגול יצאה בעצמה מהשוליים של השימוש הסמוי שלה בעבר ולמיינסטרים, בעיקר הודות לחדשות שובר הקופות שהתפרסמו בשנה שעברה כי תוכנת הריגול פגסוס שפותחה על ידי קבוצת NSO הישראלית. עבר התעללות על ידי ממשלות אוטוריטריות לרגל אחרי עיתונאים, ארגוני זכויות אדם, פוליטיקאים ועורכי דין.
מכשירי אנדרואיד במיוחד היו פגיעים לקמפיינים של תוכנות ריגול. חוקרי סופוס חשפו גרסאות חדשות של תוכנות ריגול אנדרואיד מקושר לקבוצת APT במזרח התיכון עוד בנובמבר 2021. ניתוח מ-Google TAG שפורסם במאי מצביע על כך שלפחות שמונה ממשלות מרחבי העולם קונות אנדרואיד ניצול יום אפס למטרות מעקב סמוי.
עוד יותר לאחרונה, חוקרים גילו משפחת אנדרואיד ברמה ארגונית של תוכנות ריגול מודולריות כינה הרמיט ביצוע מעקבים על אזרחי קזחסטן על ידי ממשלתם.
הדילמה סביב תוכנות הריגול היא שיכולות להיות להן שימוש לגיטימי על ידי ממשלות ורשויות בפעולות מעקב מאושרות כדי לפקח על פעילות פלילית. אכן, ה cחברות הפועלות כיום במרחב האפור של מכירת תוכנות ריגול - כולל RCS Labs, NSO Group, יוצר FinFisher Gamma Group, חברת קנדירו הישראלית ו-Positive Technologies של רוסיה - טוענות שהן מוכרות אותו רק לסוכנויות מודיעין ואכיפה לגיטימיות.
עם זאת, רובם דוחים טענה זו, כולל ממשלת ארה"ב, אשר קיבל סנקציה לאחרונה כמה מהארגונים הללו על תרומה להפרות של זכויות אדם ולפגיעה בעיתונאים, מגיני זכויות אדם, מתנגדים, פוליטיקאים מהאופוזיציה, מנהיגים עסקיים ואחרים.
כאשר ממשלות סמכותיות או גורמי איומים משיגים תוכנות ריגול, זה יכול להפוך לעסק מגעיל ביותר - עד כדי כך שהיה ויכוח רב על מה לעשות לגבי המשך קיומה ומכירה של תוכנות ריגול. יש המאמינים בכך ממשלות צריכות להחליט מי יכול לקנות אותו - מה שגם יכול להיות בעייתי, בהתאם למניעים של ממשלה להשתמש בו.
חברות מסוימות לוקחות את העניין לידיים כדי לסייע בהגנה על הכמות המוגבלת של משתמשים שעלולים להיות ממוקדים על ידי תוכנות ריגול. אפל - שמכשירי האייפון שלה היו בין אלה שנפגעו בקמפיין של פגסוס - הכריזה לאחרונה על תכונה חדשה ב-iOS וב-macOS שנקראת מצב נעילה שנועלת אוטומטית כל פונקציונליות מערכת שעלולה להיחטף אפילו על ידי תוכנות ריגול שכירי חרב המתוחכמות ביותר בחסות המדינה כדי לסכן מכשיר משתמש, אמרה החברה.
למרות כל המאמצים הללו לפצח את תוכנות הריגול, נראה שהתגליות האחרונות של RatMilad ו-Hermit מוכיחות שהם עד כה לא הרתיעו גורמי איומים מלפתח ולספק תוכנות ריגול בצל, שם הן ממשיכה לארוב, לעתים קרובות ללא זיהוי.
