Os invasores têm usado um novo spyware contra dispositivos Android empresariais, apelidado de RatMilad e disfarçado como um aplicativo útil para contornar as restrições de Internet de alguns países.
Por enquanto, a campanha está a funcionar no Médio Oriente num amplo esforço para recolher informações pessoais e corporativas das vítimas, segundo investigadores do Zimperium zLabs.
A versão original do RatMilad estava escondida atrás de um aplicativo de falsificação de VPN e número de telefone chamado Text Me, revelaram pesquisadores em uma postagem no blog publicada quarta-feira.
A função do aplicativo supostamente permite que um usuário verifique uma conta de mídia social por meio de seu telefone – “uma técnica comum usada por usuários de mídia social em países onde o acesso pode ser restrito ou que podem querer uma segunda conta verificada”, Zimperium zLabs o pesquisador Nipun Gupta escreveu no post.
Mais recentemente, no entanto, os pesquisadores descobriram uma amostra ao vivo do spyware RatMilad sendo distribuído através do NumRent, uma versão renomeada e atualizada graficamente do Text Me, através de um canal Telegram, disse ele. Seus desenvolvedores também criaram um site de produto para anunciar e distribuir o aplicativo, para tentar enganar as vítimas, fazendo-as acreditar que ele é legítimo.
“Acreditamos que os atores maliciosos responsáveis pelo RatMilad adquiriram o código do grupo AppMilad e o integraram em um aplicativo falso para distribuir a vítimas inocentes”, escreveu Gupta.
Os invasores estão usando o canal Telegram para “encorajar o carregamento lateral do aplicativo falso por meio de engenharia social” e a habilitação de “permissões significativas” no dispositivo, acrescentou Gupta.
Uma vez instalado, e depois que o usuário permite que o aplicativo acesse vários serviços, o RatMilad é carregado, dando aos invasores controle quase total sobre o dispositivo, disseram os pesquisadores. Eles então podem acessar a câmera do dispositivo para tirar fotos, gravar vídeo e áudio, obter localizações GPS precisas e visualizar fotos do dispositivo, entre outras ações, escreveu Gupta.
RatMilad obtém RAT-ty: poderoso ladrão de dados
Uma vez implantado, o RatMilad acessa como um Trojan de acesso remoto avançado (RAT) que recebe e executa comandos para coletar e exfiltrar uma variedade de dados e realizar uma série de ações maliciosas, disseram os pesquisadores.
“Semelhante a outros spywares móveis que vimos, os dados roubados desses dispositivos poderiam ser usados para acessar sistemas corporativos privados, chantagear uma vítima e muito mais”, escreveu Gupta. “Os atores mal-intencionados poderiam então produzir notas sobre a vítima, baixar quaisquer materiais roubados e coletar informações para outras práticas nefastas.”
De uma perspectiva operacional, o RatMilad executa várias solicitações a um servidor de comando e controle com base em determinados jobID e requestType e, em seguida, fica esperando indefinidamente pelas várias tarefas que pode executar no dispositivo, disseram os pesquisadores.
Ironicamente, os pesquisadores notaram inicialmente o spyware quando ele não conseguiu infectar o dispositivo empresarial de um cliente. Eles identificaram um aplicativo que entregava a carga útil e prosseguiram com a investigação, durante a qual descobriram um canal do Telegram sendo usado para distribuir a amostra RatMilad de forma mais ampla. A postagem foi vista mais de 4,700 vezes, com mais de 200 compartilhamentos externos, disseram, com as vítimas situadas principalmente no Oriente Médio.
Essa instância específica da campanha RatMilad não estava mais ativa no momento em que a postagem do blog foi escrita, mas poderia haver outros canais do Telegram. A boa notícia é que, até agora, os pesquisadores não encontraram nenhuma evidência do RatMilad na loja de aplicativos oficial do Google Play.
O dilema do spyware
Fiel ao seu nome, o spyware foi projetado para se esconder nas sombras e funcionar silenciosamente em dispositivos para monitorar as vítimas sem chamar a atenção.
No entanto, o spyware saiu das margens do seu uso anteriormente secreto e se tornou popular, graças principalmente às notícias de grande sucesso divulgadas no ano passado de que o spyware Pegasus, desenvolvido pelo Grupo NSO, com sede em Israel, estava sendo abusado por governos autoritários para espionar jornalistas, grupos de direitos humanos, políticos e advogados.
Os dispositivos Android, em particular, têm sido vulneráveis a campanhas de spyware. Pesquisadores da Sophos descobriram novas variantes de spyware para Android vinculado a um grupo APT do Oriente Médio em novembro de 2021. Análise do Google TAG divulgado em maio indica que pelo menos oito governos de todo o mundo estão comprando explorações de dia zero do Android para fins de vigilância secreta.
Ainda mais recentemente, pesquisadores descobriram uma família Android de spyware modular de nível empresarial apelidado de Eremita conduzindo vigilância sobre os cidadãos do Cazaquistão pelo seu governo.
O dilema em torno do spyware é que ele pode ser utilizado legitimamente por governos e autoridades em operações de vigilância sancionadas para monitorar atividades criminosas. Na verdade, o cempresas atualmente operando no espaço cinzento da venda de spyware – incluindo RCS Labs, NSO Group, Criador do FinFisher Gamma Group, a empresa israelense Candiru e a Positive Technologies da Rússia – afirmam que só o vendem para agências legítimas de inteligência e aplicação da lei.
Contudo, a maioria rejeita esta afirmação, incluindo o governo dos EUA, que recentemente sancionado várias destas organizações por contribuírem para violações dos direitos humanos e por atacarem jornalistas, defensores dos direitos humanos, dissidentes, políticos da oposição, líderes empresariais e outros.
Quando governos autoritários ou agentes de ameaças obtêm spyware, isso pode tornar-se um negócio extremamente desagradável – tanto que tem havido muito debate sobre o que fazer relativamente à continuação da existência e venda de spyware. Alguns acreditam que os governos deveriam decidir quem pode comprá-lo – o que também pode ser problemático, dependendo dos motivos do governo para usá-lo.
Algumas empresas estão resolvendo o problema por conta própria para ajudar a proteger a quantidade limitada de usuários que podem ser alvo de spyware. A Apple – cujos dispositivos iPhone estavam entre os comprometidos na campanha Pegasus – anunciou recentemente um novo recurso para iOS e macOS chamado Modo de bloqueio que bloqueia automaticamente qualquer funcionalidade do sistema que possa ser sequestrada até mesmo pelo spyware mercenário mais sofisticado patrocinado pelo Estado para comprometer o dispositivo do usuário, disse a empresa.
Apesar de todos estes esforços para reprimir o spyware, as recentes descobertas do RatMilad e do Hermit parecem demonstrar que até agora não dissuadiram os agentes ameaçadores de desenvolver e distribuir spyware nas sombras, onde continua a espreitar, muitas vezes sem ser detectado.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
