Aanvallers hebben een nieuwe spyware tegen zakelijke Android-apparaten gebruikt, genaamd RatMilad, vermomd als een handige app om de internetbeperkingen van sommige landen te omzeilen.
Voorlopig is de campagne in het Midden-Oosten actief in een brede poging om persoonlijke en bedrijfsinformatie van slachtoffers te verzamelen, aldus onderzoekers van Zimperium zLabs.
De originele versie van RatMilad verstopte zich achter een VPN- en telefoonnummer-spoofing-app genaamd Text Me, onthulden onderzoekers in een blogpost gepubliceerd op woensdag.
De functie van de app is zogenaamd bedoeld om een โโgebruiker in staat te stellen een sociale media-account te verifiรซren via zijn of haar telefoon โ โeen veelgebruikte techniek die wordt gebruikt door gebruikers van sociale media in landen waar de toegang mogelijk beperkt is of die misschien een tweede, geverifieerde account willenโ, Zimperium zLabs onderzoeker Nipun Gupta schreef in de post.
Meer recent ontdekten onderzoekers echter een live voorbeeld van de RatMilad-spyware die werd verspreid via NumRent, een hernoemde en grafisch bijgewerkte versie van Text Me, via een Telegram-kanaal, zei hij. De ontwikkelaars hebben ook een productwebsite gemaakt voor het adverteren en distribueren van de app, om te proberen slachtoffers voor de gek te houden door te geloven dat de app legitiem is.
โWij geloven dat de kwaadwillende actoren die verantwoordelijk zijn voor RatMilad de code van de AppMilad-groep hebben verkregen en deze in een nep-app hebben geรฏntegreerd om deze onder nietsvermoedende slachtoffers te verspreidenโ, schreef Gupta.
Aanvallers gebruiken het Telegram-kanaal om โde sideloading van de nep-app via social engineering aan te moedigenโ en het inschakelen van โsignificante rechtenโ op het apparaat, voegde Gupta eraan toe.
Eenmaal geรฏnstalleerd en nadat de gebruiker de app toegang heeft gegeven tot meerdere diensten, wordt RatMilad geladen, waardoor aanvallers vrijwel volledige controle over het apparaat krijgen, aldus onderzoekers. Ze hebben dan toegang tot de camera van het apparaat om onder andere foto's te maken, video en audio op te nemen, nauwkeurige GPS-locaties te verkrijgen en foto's van het apparaat te bekijken, schreef Gupta.
RatMilad krijgt RAT-ty: krachtige data-stealer
Eenmaal geรฏmplementeerd, heeft RatMilad toegang als een geavanceerde Remote Access Trojan (RAT) die opdrachten ontvangt en uitvoert om een โโverscheidenheid aan gegevens te verzamelen en te exfiltreren en een reeks kwaadaardige acties uit te voeren, aldus onderzoekers.
โNet als bij andere mobiele spyware die we hebben gezien, kunnen de gegevens die van deze apparaten worden gestolen, worden gebruikt om toegang te krijgen tot particuliere bedrijfssystemen, een slachtoffer te chanteren en meerโ, schreef Gupta. โDe kwaadwillende actoren kunnen dan aantekeningen over het slachtoffer maken, gestolen materiaal downloaden en informatie verzamelen over andere snode praktijken.โ
Vanuit operationeel perspectief voert RatMilad verschillende verzoeken uit aan een command-and-control-server op basis van een bepaalde jobID en requestType, en wacht vervolgens voor onbepaalde tijd op de verschillende taken die het op het apparaat kan uitvoeren, aldus onderzoekers.
Ironisch genoeg merkten onderzoekers de spyware in eerste instantie op toen deze er niet in slaagde het bedrijfsapparaat van een klant te infecteren. Ze identificeerden รฉรฉn app die de payload leverde en gingen verder met onderzoek, waarbij ze ontdekten dat een Telegram-kanaal werd gebruikt om het RatMilad-monster breder te verspreiden. De post werd ruim 4,700 keer bekeken en werd ruim 200 keer extern gedeeld, zeiden ze, waarbij de slachtoffers zich vooral in het Midden-Oosten bevonden.
Dat specifieke exemplaar van de RatMilad-campagne was niet langer actief op het moment dat de blogpost werd geschreven, maar er zouden andere Telegram-kanalen kunnen zijn. Het goede nieuws is dat onderzoekers tot nu toe geen enkel bewijs van RatMilad hebben gevonden in de officiรซle Google Play app store.
Het Spyware-dilemma
Spyware is trouw aan zijn naam en is ontworpen om in de schaduw op de loer te liggen en stil op apparaten te draaien om slachtoffers te monitoren zonder de aandacht te trekken.
Spyware is echter zelf uit de marge van het voorheen geheime gebruik verdwenen en in de mainstream beland, vooral dankzij het blockbusternieuws dat vorig jaar bekend werd gemaakt dat de Pegasus-spyware, ontwikkeld door de in Israรซl gevestigde NSO Group werd misbruikt door autoritaire regeringen om journalisten, mensenrechtengroeperingen, politici en advocaten te bespioneren.
Vooral Android-apparaten zijn kwetsbaar voor spywarecampagnes. Sophos-onderzoekers hebben dit ontdekt nieuwe varianten van Android-spyware gekoppeld aan een APT-groep uit het Midden-Oosten in november 2021. Analyse van Google TAG Dat in mei werd vrijgegeven geeft aan dat ten minste acht regeringen van over de hele wereld Android zero-day-exploits kopen voor geheime surveillancedoeleinden.
Nog recenter ontdekten onderzoekers een Android-familie van modulaire spyware op bedrijfsniveau genaamd Kluizenaar het uitvoeren van toezicht op burgers van Kazachstan door hun regering.
Het dilemma rond spyware is dat overheden en autoriteiten er legitiem gebruik van kunnen maken bij gesanctioneerde surveillanceoperaties om criminele activiteiten te monitoren. Inderdaad, de cbedrijven die momenteel actief zijn in de grijze ruimte van de verkoop van spyware โ waaronder RCS Labs, NSO Group, FinFisher-maker Gamma Group, het Israรซlische bedrijf Candiru en het Russische Positive Technologies beweren dat ze het alleen verkopen aan legitieme inlichtingen- en handhavingsinstanties.
De meesten verwerpen deze bewering echter, inclusief de Amerikaanse regering onlangs gesanctioneerd verschillende van deze organisaties voor hun bijdrage aan mensenrechtenschendingen en het aanvallen van journalisten, mensenrechtenverdedigers, dissidenten, politici van de oppositie, bedrijfsleiders en anderen.
Wanneer autoritaire regeringen of dreigingsactoren spyware in handen krijgen, kan het inderdaad een uiterst vervelende aangelegenheid worden โ zo erg zelfs dat er veel discussie is ontstaan โโover wat te doen aan het voortbestaan โโen de verkoop van spyware. Sommigen geloven dat regeringen zouden moeten kunnen beslissen wie kan het kopen โ wat ook problematisch kan zijn, afhankelijk van de motieven van een overheid om het te gebruiken.
Sommige bedrijven nemen de zaak in eigen hand om het beperkte aantal gebruikers te helpen beschermen dat mogelijk het doelwit is van spyware. Apple โ wiens iPhone-apparaten tot de gecompromitteerde iPhone-apparaten behoorden tijdens de Pegasus-campagne โ heeft onlangs een nieuwe functie aangekondigd op zowel iOS als macOS genaamd Vergrendelingsmodus dat automatisch elke systeemfunctionaliteit vergrendelt die kan worden gekaapt door zelfs de meest geavanceerde, door de staat gesponsorde huursoldaten om een โโgebruikersapparaat in gevaar te brengen, aldus het bedrijf.
Ondanks al deze pogingen om spyware aan te pakken, lijken de recente ontdekkingen van RatMilad en Hermit aan te tonen dat ze tot nu toe de dreigingsactoren er niet van hebben weerhouden om spyware in de schaduw te ontwikkelen en te verspreiden, waar deze vaak onopgemerkt op de loer blijft liggen.
