공격자들은 일부 국가의 인터넷 제한을 우회하기 위해 유용한 앱으로 위장하고 RatMilad라는 이름의 엔터프라이즈 Android 장치에 대해 새로운 스파이웨어를 사용하고 있습니다.
Zimperium zLabs의 연구원에 따르면 현재 이 캠페인은 피해자의 개인 및 기업 정보를 수집하기 위한 광범위한 노력의 일환으로 중동에서 운영되고 있습니다.
RatMilad의 원래 버전은 Text Me라는 VPN 및 전화번호 스푸핑 앱 뒤에 숨겨져 있다고 연구원들이 밝혔습니다. 수요일 게시 된 블로그 게시물.
이 앱의 기능은 사용자가 자신의 전화를 통해 소셜 미디어 계정을 확인할 수 있도록 하는 것으로 알려져 있습니다. "액세스가 제한되거나 두 번째 인증된 계정을 원할 수 있는 국가의 소셜 미디어 사용자가 사용하는 일반적인 기술"입니다. 연구원 Nipun Gupta는 게시물에 썼습니다.
그러나 최근에 연구원들은 Telegram 채널을 통해 이름이 바뀌고 그래픽으로 업데이트된 Text Me 버전인 NumRent를 통해 배포되는 RatMilad 스파이웨어의 라이브 샘플을 발견했다고 말했습니다. 개발자들은 또한 앱을 광고하고 배포하기 위한 제품 웹사이트를 만들어 피해자가 앱이 합법적이라고 믿도록 속이려고 했습니다.
굽타는 "RatMilad를 담당하는 악의적인 행위자가 AppMilad 그룹에서 코드를 입수하고 이를 가짜 앱에 통합하여 순진한 피해자에게 배포했다고 생각합니다."라고 썼습니다.
공격자들은 텔레그램 채널을 사용하여 "소셜 엔지니어링을 통해 가짜 앱의 사이드로딩을 조장"하고 장치에 대한 "중요한 권한"을 활성화하고 있다고 굽타가 덧붙였습니다.
일단 설치되고 사용자가 앱이 여러 서비스에 액세스할 수 있도록 하면 RatMilad가 로드되어 공격자가 기기를 거의 완벽하게 제어할 수 있다고 연구원들은 말했습니다. 그런 다음 기기의 카메라에 액세스하여 사진을 찍고, 비디오 및 오디오를 녹화하고, 정확한 GPS 위치를 파악하고, 기기에서 사진을 보는 등의 작업을 수행할 수 있습니다.
RatMilad가 RAT-ty를 얻습니다: 강력한 데이터 스틸러
RatMilad는 일단 배포되면 다양한 데이터를 수집 및 추출하는 명령을 수신 및 실행하고 다양한 악성 작업을 수행하는 고급 원격 액세스 트로이 목마(RAT)처럼 액세스한다고 연구원들은 말했습니다.
굽타는 "우리가 본 다른 모바일 스파이웨어와 유사하게 이러한 장치에서 훔친 데이터는 개인 기업 시스템에 액세스하고 피해자를 협박하는 데 사용될 수 있다"고 적었다. "악의적인 행위자는 피해자에 대한 메모를 작성하고 도난당한 자료를 다운로드하고 기타 사악한 행위에 대한 정보를 수집할 수 있습니다."
운영 측면에서 RatMilad는 특정 jobID 및 requestType을 기반으로 명령 및 제어 서버에 대한 다양한 요청을 수행한 다음 장치에서 실행하기 위해 수행할 수 있는 다양한 작업을 무기한 대기하며 대기합니다.
아이러니하게도 연구원들은 처음에 스파이웨어가 고객의 기업 장치를 감염시키는 데 실패했을 때 발견했습니다. 그들은 페이로드를 전달하는 하나의 앱을 확인하고 조사를 진행하는 동안 RatMilad 샘플을 더 광범위하게 배포하는 데 사용되는 Telegram 채널을 발견했습니다. 이 게시물은 4,700개 이상의 외부 공유와 함께 200번 이상 조회되었으며 피해자는 대부분 중동에 있다고 그들은 말했다.
RatMilad 캠페인의 특정 인스턴스는 블로그 게시물이 작성될 당시 더 이상 활성화되지 않았지만 다른 Telegram 채널이 있을 수 있습니다. 좋은 소식은 지금까지 연구원들이 공식 Google Play 앱 스토어에서 RatMilad의 증거를 찾지 못했다는 것입니다.
스파이웨어 딜레마
이름 그대로 스파이웨어는 그림자 속에 숨어 장치에서 조용히 실행되어 주의를 기울이지 않고 피해자를 모니터링하도록 설계되었습니다.
그러나 스파이웨어는 주로 이스라엘 기반 NSO Group에서 개발한 Pegasus 스파이웨어가 작년에 터진 블록버스터 뉴스 덕분에 이전의 은밀한 사용의 변두리에서 주류로 이동했습니다. 권위주의 정부에 의해 학대를 받고 있었다 언론인, 인권 단체, 정치인 및 변호사를 염탐합니다.
특히 Android 기기는 스파이웨어 캠페인에 취약했습니다. 소포스 연구원 발견 Android 스파이웨어의 새로운 변종 2021년 XNUMX월에 중동 APT 그룹에 연결되었습니다. Google TAG에서 분석 XNUMX월에 발표된 보고서에 따르면 전 세계에서 최소 XNUMX개 정부가 은밀한 감시 목적으로 Android 제로 데이 익스플로잇을 구매하고 있습니다.
더욱 최근에 연구원들은 엔터프라이즈급 Android 모듈식 스파이웨어 제품군을 발견했습니다. 은둔자 정부가 카자흐스탄 시민을 감시합니다.
스파이웨어를 둘러싼 딜레마는 정부와 당국이 범죄 활동을 모니터링하기 위해 승인된 감시 작업에서 합법적으로 사용할 수 있다는 것입니다. 과연, cRCS Labs, NSO Group, FinFisher 제작자 Gamma Group, 이스라엘 회사 Candiru 및 러시아의 Positive Technologies는 합법적인 정보 및 집행 기관에만 판매한다고 주장합니다.
그러나 대부분은 미국 정부를 포함하여 이 주장을 거부합니다. 최근 제재 인권 유린에 기여하고 언론인, 인권 옹호자, 반체제 인사, 야당 정치인, 기업 지도자 등을 표적으로 삼는 여러 조직.
권위주의적인 정부나 위협 행위자가 스파이웨어를 획득하면 실제로 매우 불쾌한 비즈니스가 될 수 있습니다. 따라서 스파이웨어의 지속적인 존재 및 판매에 대해 무엇을 해야 하는지에 대해 많은 논쟁이 있었습니다. 어떤 사람들은 그것을 믿는다. 정부가 결정해야 한다 누가 그것을 살 수 있는가 - 그것은 또한 그것을 사용하는 정부의 동기에 따라 문제가 될 수 있다.
일부 회사는 스파이웨어의 표적이 될 수 있는 제한된 수의 사용자를 보호하기 위해 문제를 스스로 해결하고 있습니다. Pegasus 캠페인에서 손상된 iPhone 장치 중 하나인 Apple은 최근 iOS 및 macOS 모두에서 다음과 같은 새로운 기능을 발표했습니다. 잠금 모드 가장 정교한 국가 지원 용병 스파이웨어라도 사용자 장치를 손상시킬 수 있는 모든 시스템 기능을 자동으로 잠급니다.
스파이웨어를 단속하기 위한 이러한 모든 노력에도 불구하고 RatMilad와 Hermit의 최근 발견은 지금까지 위협 행위자가 스파이웨어를 개발하고 배포하는 것을 막지 못했다는 것을 보여줍니다.
