Atakujący używali nowego oprogramowania szpiegującego przeciwko firmowym urządzeniom z systemem Android, nazwanego RatMilad i udającego pomocną aplikację pozwalającą ominąć ograniczenia internetowe obowiązujące w niektórych krajach.
Według badaczy z Zimperium zLabs kampania prowadzona jest na Bliskim Wschodzie i ma na celu szerokie gromadzenie danych osobowych i korporacyjnych ofiar.
Badacze ujawnili, że pierwotna wersja RatMilad ukryta była za aplikacją Text Me do fałszowania VPN i numerów telefonów wpis na blogu opublikowany w środę.
Funkcja aplikacji ma rzekomo umożliwiać użytkownikowi weryfikację konta w mediach społecznościowych za pomocą telefonu – „jest to powszechna technika stosowana przez użytkowników mediów społecznościowych w krajach, w których dostęp może być ograniczony lub które mogą potrzebować drugiego, zweryfikowanego konta” – Zimperium zLabs – napisała w poście badaczka Nipun Gupta.
Niedawno jednak badacze odkryli żywą próbkę oprogramowania szpiegującego RatMilad rozprowadzanego za pośrednictwem kanału Telegram NumRent – zmienionej nazwy i graficznie zaktualizowanej wersji programu Text Me – za pośrednictwem kanału Telegram. Jego twórcy stworzyli także witrynę internetową produktu służącą do reklamowania i dystrybucji aplikacji, aby spróbować oszukać ofiary, aby uwierzyły, że jest ona legalna.
„Uważamy, że złośliwi uczestnicy odpowiedzialni za RatMilad zdobyli kod od grupy AppMilad i zintegrowali go z fałszywą aplikacją w celu rozesłania niczego niepodejrzewającym ofiarom” – napisał Gupta.
Gupta dodał, że atakujący wykorzystują kanał Telegram, aby „zachęcać do bocznego pobierania fałszywej aplikacji za pomocą socjotechniki” i włączania „znaczących uprawnień” na urządzeniu.
Badacze twierdzą, że po zainstalowaniu i umożliwieniu aplikacji dostępu do wielu usług RatMilad ładuje się, dając atakującym niemal pełną kontrolę nad urządzeniem. Następnie mogą uzyskać dostęp do aparatu urządzenia, aby między innymi robić zdjęcia, nagrywać wideo i audio, uzyskiwać dokładne lokalizacje GPS i przeglądać zdjęcia z urządzenia, napisała Gupta.
RatMilad zyskuje RAT-ty: potężny narzędzie do kradzieży danych
Po wdrożeniu RatMilad uzyskuje dostęp niczym zaawansowany trojan zdalnego dostępu (RAT), który odbiera i wykonuje polecenia w celu gromadzenia i wydobywania różnych danych oraz wykonywania szeregu złośliwych działań – twierdzą badacze.
„Podobnie jak w przypadku innych mobilnych programów szpiegujących, które widzieliśmy, dane skradzione z tych urządzeń mogą zostać wykorzystane do uzyskania dostępu do prywatnych systemów korporacyjnych, szantażowania ofiary i nie tylko” – napisał Gupta. „Złośliwi aktorzy mogliby następnie sporządzić notatki na temat ofiary, pobrać wszelkie skradzione materiały i zebrać informacje wywiadowcze na temat innych nikczemnych praktyk”.
Z operacyjnego punktu widzenia RatMilad wykonuje różne żądania kierowane do serwera dowodzenia i kontroli w oparciu o określony identyfikator zadania i typ żądania, a następnie pozostaje i czeka w nieskończoność na różne zadania, które może wykonać na urządzeniu – twierdzą badacze.
Jak na ironię, badacze początkowo zauważyli oprogramowanie szpiegujące, gdy nie udało mu się zainfekować urządzenia korporacyjnego klienta. Zidentyfikowali jedną aplikację dostarczającą ładunek i rozpoczęli dochodzenie, podczas którego odkryli kanał Telegramu używany do szerszej dystrybucji próbki RatMilad. Post wyświetlono ponad 4,700 razy i udostępniono ponad 200 osobom zewnętrznym, a ofiary znajdowały się głównie na Bliskim Wschodzie.
Ten konkretny przypadek kampanii RatMilad nie był już aktywny w momencie pisania posta na blogu, ale mogły istnieć inne kanały na Telegramie. Dobra wiadomość jest taka, że jak dotąd badacze nie znaleźli żadnych dowodów na obecność RatMilad w oficjalnym sklepie z aplikacjami Google Play.
Dylemat oprogramowania szpiegującego
Zgodnie ze swoją nazwą oprogramowanie szpiegujące ma za zadanie czaić się w cieniu i dyskretnie działać na urządzeniach w celu monitorowania ofiar bez zwracania na nie uwagi.
Jednakże oprogramowanie szpiegujące samo w sobie wyszło z marginesu jego wcześniej ukrytego zastosowania i wkroczyło do głównego nurtu, głównie dzięki hitowej wiadomości, która rozeszła się w zeszłym roku, że oprogramowanie szpiegowskie Pegasus opracowane przez izraelską grupę NSO był nadużywany przez autorytarne rządy szpiegować dziennikarzy, organizacje praw człowieka, polityków i prawników.
Szczególnie urządzenia z Androidem były podatne na kampanie spyware. Odkryli to badacze Sophos nowe warianty oprogramowania szpiegującego dla Androida powiązany z bliskowschodnią grupą APT w listopadzie 2021 r. Analiza z Google TAG opublikowane w maju wskazują, że co najmniej osiem rządów z całego świata kupuje exploity dnia zerowego dla Androida w celu tajnego nadzoru.
Jeszcze niedawno badacze odkryli rodzinę modułowych programów szpiegujących dla Androida klasy korporacyjnej nazwany Pustelnikiem prowadzenie inwigilacji obywateli Kazachstanu przez swój rząd.
Dylemat związany z oprogramowaniem szpiegującym polega na tym, że rządy i władze mogą go legalnie wykorzystywać w zatwierdzonych operacjach inwigilacyjnych w celu monitorowania działalności przestępczej. Rzeczywiście, cfirmy działające obecnie w szarej przestrzeni sprzedaży oprogramowania szpiegującego — m.in. RCS Labs, NSO Group, Twórca FinFisher Gamma Group, izraelska firma Candiru i Russian's Positive Technologies — utrzymują, że sprzedają je wyłącznie legalnym agencjom wywiadowczym i wykonawczym.
Jednak większość odrzuca to twierdzenie, w tym rząd USA, który niedawno ukarane kilka z tych organizacji za przyczynianie się do łamania praw człowieka i atakowanie dziennikarzy, obrońców praw człowieka, dysydentów, polityków opozycji, liderów biznesu i innych.
Kiedy autorytarne rządy lub ugrupowania zagrażające pozyskują oprogramowanie szpiegowskie, może to być w rzeczywistości niezwykle nieprzyjemny interes — do tego stopnia, że odbyło się wiele debat na temat tego, co zrobić w sprawie dalszego istnienia i sprzedaży oprogramowania szpiegującego. Niektórzy w to wierzą rządy powinny decydować kto może go kupić – co również może być problematyczne, w zależności od motywów rządu, aby go używać.
Niektóre firmy biorą sprawy w swoje ręce, aby pomóc chronić ograniczoną liczbę użytkowników, którzy mogą być celem programów szpiegujących. Firma Apple — której urządzenia iPhone znalazły się wśród tych, które zostały zainfekowane w kampanii Pegasus — ogłosiła niedawno nową funkcję na iOS i macOS o nazwie Tryb blokady który automatycznie blokuje wszelkie funkcje systemu, które mogłyby zostać przejęte przez nawet najbardziej wyrafinowane, sponsorowane przez państwo najemne oprogramowanie szpiegowskie w celu naruszenia bezpieczeństwa urządzenia użytkownika, twierdzi firma.
Pomimo wszystkich tych wysiłków mających na celu rozprawienie się z oprogramowaniem szpiegującym, ostatnie odkrycia RatMilad i Hermit wydają się pokazywać, że jak dotąd nie odstraszyły one podmiotów zagrażających od opracowywania i dostarczania oprogramowania szpiegującego w cieniu, gdzie nadal czai się ono, często niewykryte.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
