Angripere har brukt en ny spionvare mot Android-enheter for bedrifter, kalt RatMilad og forkledd som en nyttig app for å omgå enkelte lands Internett-restriksjoner.
Foreløpig opererer kampanjen i Midtøsten i en bred innsats for å samle ofrenes personlige og bedriftsopplysninger, ifølge forskere fra Zimperium zLabs.
Den originale versjonen av RatMilad gjemte seg bak en VPN- og telefonnumre-spoofing-app kalt Text Me, avslørte forskere i et blogginnlegg publisert onsdag.
Appens funksjon er angivelig å gjøre det mulig for en bruker å verifisere en sosial mediekonto gjennom telefonen sin - "en vanlig teknikk som brukes av brukere av sosiale medier i land der tilgangen kan være begrenset eller som kanskje vil ha en andre verifisert konto," Zimperium zLabs skrev forsker Nipun Gupta i innlegget.
Nylig oppdaget imidlertid forskere et levende utvalg av RatMilad-spywaren som ble distribuert gjennom NumRent, en omdøpt og grafisk oppdatert versjon av Text Me, via en Telegram-kanal, sa han. Utviklerne har også laget et produktnettsted for annonsering og distribusjon av appen, for å prøve å lure ofre til å tro at den er legitim.
"Vi tror de ondsinnede aktørene som er ansvarlige for RatMilad, skaffet koden fra AppMilad-gruppen og integrerte den i en falsk app for å distribuere til intetanende ofre," skrev Gupta.
Angripere bruker Telegram-kanalen for å "oppmuntre til sidelasting av den falske appen gjennom sosial manipulering" og aktivering av "betydelige tillatelser" på enheten, la Gupta til.
Når den er installert, og etter at brukeren har aktivert appen for å få tilgang til flere tjenester, laster RatMilad, noe som gir angripere nesten full kontroll over enheten, sa forskere. De kan da få tilgang til enhetens kamera for å ta bilder, ta opp video og lyd, få presise GPS-plasseringer og se bilder fra enheten, blant andre handlinger, skrev Gupta.
RatMilad får RAT-ty: Kraftig datatyver
Når den er distribuert, får RatMilad tilgang som en avansert fjerntilgang Trojan (RAT) som mottar og utfører kommandoer for å samle inn og eksfiltrere en rekke data og utføre en rekke ondsinnede handlinger, sa forskere.
"I likhet med andre mobile spionprogrammer vi har sett, kan data stjålet fra disse enhetene brukes til å få tilgang til private bedriftssystemer, utpresse et offer og mer," skrev Gupta. "De ondsinnede aktørene kunne deretter lage notater om offeret, laste ned alt stjålet materiale og samle etterretning for andre ondsinnede praksiser."
Fra et operativt perspektiv utfører RatMilad ulike forespørsler til en kommando-og-kontrollserver basert på bestemt jobID og requestType, og venter deretter og venter på ubestemt tid for de ulike oppgavene den kan utføre for å utføre på enheten, sa forskere.
Ironisk nok la forskere først merke til spywaren da den ikke klarte å infisere en kundes bedriftsenhet. De identifiserte en app som leverte nyttelasten og fortsatte med å undersøke, hvor de oppdaget en Telegram-kanal som ble brukt til å distribuere RatMilad-prøven bredere. Innlegget hadde blitt sett mer enn 4,700 ganger med mer enn 200 eksterne delinger, sa de, med ofrene hovedsakelig lokalisert i Midtøsten.
Den spesielle forekomsten av RatMilad-kampanjen var ikke lenger aktiv på det tidspunktet blogginnlegget ble skrevet, men det kan være andre Telegram-kanaler. Den gode nyheten er at forskere så langt ikke har funnet noen bevis for RatMilad på den offisielle Google Play-appbutikken.
Spionvare-dilemmaet
Tro mot navnet sitt er spionprogrammer designet for å lure i skyggene og kjøre lydløst på enheter for å overvåke ofre uten å vekke oppmerksomhet.
Spyware har imidlertid selv beveget seg ut av utkanten av sin tidligere skjulte bruk og inn i mainstream, hovedsakelig takket være storfilmnyhetene som brøt i fjor om at Pegasus-spionvaren utviklet av den israelsk-baserte NSO Group ble misbrukt av autoritære regjeringer å spionere på journalister, menneskerettighetsgrupper, politikere og advokater.
Spesielt Android-enheter har vært sårbare for spionvarekampanjer. Sophos-forskere avdekket nye varianter av Android-spyware knyttet til en Midtøsten APT-gruppe tilbake i november 2021. Analyse fra Google TAG utgitt i mai indikerer at minst åtte regjeringer fra hele verden kjøper Android nulldagers utnyttelser for skjult overvåkingsformål.
Enda mer nylig oppdaget forskere en Android-familie av modulær spionvare i bedriftsklasse kalt Eremitt utfører overvåking av innbyggere i Kasakhstan av deres regjering.
Dilemmaet rundt spionprogramvare er at det kan ha en legitim bruk av myndigheter og myndigheter i sanksjonerte overvåkingsoperasjoner for å overvåke kriminell aktivitet. Faktisk cselskaper som for tiden opererer i det grå området for salg av spyware – inkludert RCS Labs, NSO Group, FinFisher-skaper Gamma Group, det israelske selskapet Candiru og Russlands Positive Technologies — hevder at de kun selger det til legitime etterretnings- og håndhevingsbyråer.
Imidlertid avviser de fleste denne påstanden, inkludert den amerikanske regjeringen, som nylig sanksjonert flere av disse organisasjonene for å ha bidratt til menneskerettighetsbrudd og målretting mot journalister, menneskerettighetsforkjempere, dissidenter, opposisjonspolitikere, næringslivsledere og andre.
Når autoritære myndigheter eller trusselaktører skaffer seg spionprogrammer, kan det faktisk bli en ekstremt ekkel virksomhet - så mye at det har vært mye debatt om hva de skal gjøre med den fortsatte eksistensen og salget av spionprogrammer. Noen tror det myndighetene bør få bestemme hvem som kan kjøpe det - noe som også kan være problematisk, avhengig av en regjerings motiver for å bruke den.
Noen selskaper tar saken i egne hender for å bidra til å beskytte den begrensede mengden brukere som kan bli målrettet av spionprogrammer. Apple – hvis iPhone-enheter var blant de kompromitterte i Pegasus-kampanjen – kunngjorde nylig en ny funksjon på både iOS og macOS kalt Låsemodus som automatisk låser ned enhver systemfunksjonalitet som kan bli kapret av selv den mest sofistikerte, statssponsede leiesoldatspyware for å kompromittere en brukerenhet, sa selskapet.
Til tross for alle disse anstrengelsene for å slå ned på spionprogrammer, ser de nylige oppdagelsene av RatMilad og Hermit ut til å demonstrere at de så langt ikke har avskrekket trusselaktører fra å utvikle og levere spionprogrammer i skyggen, der den fortsetter å lure, ofte uoppdaget.
