Spyware-ul RatMilad ajunge pe telefoanele Android Enterprise

Attackers have been using a new spyware against enterprise Android devices, dubbed RatMilad and disguised as a helpful app to get around some countries’ Internet restrictions.

For now, the campaign is operating in the Middle East in a broad effort to gather victims’ personal and corporate information, according to researchers from Zimperium zLabs.

Versiunea originală a RatMilad s-a ascuns în spatele unei aplicații de falsificare VPN și numere de telefon numită Text Me, au dezvăluit cercetătorii în o postare pe blog publicată miercuri.

The app’s function is purportedly to enable a user to verify a social media account through his or her phone — “a common technique used by social media users in countries where access might be restricted or that might want a second, verified account,” Zimperium zLabs researcher Nipun Gupta wrote in the post.

Mai recent, însă, cercetătorii au descoperit un eșantion live al programului spion RatMilad distribuit prin NumRent, o versiune redenumită și actualizată grafic a Text Me, prin intermediul unui canal Telegram, a spus el. Dezvoltatorii săi au creat, de asemenea, un site web pentru produse pentru a face publicitate și a distribui aplicația, pentru a încerca să păcălească victimele făcându-le să creadă că este legitimă.

“We believe the malicious actors responsible for RatMilad acquired the code from the AppMilad group and integrated it into a fake app to distribute to unsuspecting victims,” Gupta wrote.

Attackers are using the Telegram channel to “encourage the sideloading of the fake app through social engineering” and the enablement of “significant permissions” on the device, Gupta added.

Once installed, and after the user enables the app to access multiple services, RatMilad loads, giving attackers almost complete control over the device, researchers said. They then can access the device’s camera to take pictures, record video and audio, get precise GPS locations, and view pictures from the device, among other actions, Gupta wrote.

RatMilad primește RAT-ty: un puternic furt de date

Odată implementat, RatMilad accesează ca un troian avansat de acces la distanță (RAT) care primește și execută comenzi pentru a colecta și a exfiltra o varietate de date și a efectua o serie de acțiuni rău intenționate, au spus cercetătorii.

“Similar to other mobile spyware we have seen, the data stolen from these devices could be used to access private corporate systems, blackmail a victim, and more,” Gupta wrote. “The malicious actors could then produce notes on the victim, download any stolen materials, and gather intelligence for other nefarious practices.”

Dintr-o perspectivă operațională, RatMilad efectuează diverse solicitări către un server de comandă și control pe baza anumitor ID job și requestType, apoi stă și așteaptă la nesfârșit diferitele sarcini pe care le poate îndeplini pentru a le executa pe dispozitiv, au spus cercetătorii.

Ironically, researchers initially noticed the spyware when it failed to infect a customer’s enterprise device. They identified one app delivering the payload and proceeded to investigate, during which they discovered a Telegram channel being used to distribute the RatMilad sample more broadly. The post had been viewed more than 4,700 times with more than 200 external shares, they said, with the victims mostly situated in the Middle East.

Acea instanță specială a campaniei RatMilad nu mai era activă în momentul în care a fost scrisă postarea pe blog, dar ar putea exista și alte canale Telegram. Vestea bună este că, până acum, cercetătorii nu au găsit nicio dovadă a lui RatMilad pe magazinul oficial de aplicații Google Play.

Dilema spyware

Adevărat numelui său, programul spyware este conceput să pândească în umbră și să ruleze în tăcere pe dispozitive pentru a monitoriza victimele fără a atrage atenția.

Cu toate acestea, spyware-ul a ieșit din limitele utilizării sale ascunse anterior și a intrat în curentul principal, în principal datorită știrilor de succes care au apărut anul trecut că programul spion Pegasus dezvoltat de NSO Group cu sediul în Israel. a fost abuzat de guvernele autoritare să spioneze jurnalişti, grupuri pentru drepturile omului, politicieni şi avocaţi.

Dispozitivele Android în special au fost vulnerabile la campaniile de spyware. Cercetătorii Sophos au descoperit noi variante de spyware Android legat de un grup APT din Orientul Mijlociu încă din noiembrie 2021. Analiză de la Google TAG lansat în mai indică faptul că cel puțin opt guverne din întreaga lume cumpără exploit-uri Android zero-day în scopuri de supraveghere ascunsă.

Chiar și mai recent, cercetătorii au descoperit o familie de programe spion modulare Android de nivel enterprise supranumit Pustnicul supravegherea cetățenilor din Kazahstan de către guvernul lor.

Dilema din jurul programelor spion este că poate avea o utilizare legitimă de către guverne și autorități în operațiuni de supraveghere sancționate pentru a monitoriza activitatea criminală. Într-adevăr, cel ccompanii care operează în prezent în spațiul gri al vânzării de spyware - inclusiv RCS Labs, NSO Group, Creatorul FinFisher Gamma Group, Israeli company Candiru, and Russia’s Positive Technologies — maintain that they only sell it to legitimate intelligence and enforcement agencies.

Cu toate acestea, majoritatea resping această afirmație, inclusiv guvernul SUA, care sancționat recent mai multe dintre aceste organizații pentru că au contribuit la încălcările drepturilor omului și la vizarea jurnaliştilor, apărătorilor drepturilor omului, dizidenţilor, politicienilor din opoziție, liderilor de afaceri și alții.

Atunci când guvernele autoritare sau actorii de amenințări obțin programe spion, acesta poate deveni într-adevăr o afacere extrem de urâtă - atât de mult încât au existat multe dezbateri cu privire la ce trebuie făcut cu privire la existența și vânzarea în continuare a programelor spion. Unii cred asta guvernele ar trebui să decidă who can buy it — which also can be problematic, depending on a government’s motives for using it.

Unele companii iau problema în propriile mâini pentru a ajuta la protejarea numărului limitat de utilizatori care ar putea fi vizați de spyware. Apple – ale cărui dispozitive iPhone au fost printre cele compromise în campania Pegasus – a anunțat recent o nouă funcție atât pe iOS, cât și pe macOS, numită Modul de blocare care blochează automat orice funcționalitate a sistemului care ar putea fi deturnată chiar și de cel mai sofisticat program spion mercenar sponsorizat de stat pentru a compromite un dispozitiv utilizator, a spus compania.

În ciuda tuturor acestor eforturi de a combate spyware, recentele descoperiri ale lui RatMilad și Hermit par să demonstreze că până acum nu au descurajat actorii amenințărilor să dezvolte și să livreze spyware în umbră, unde continuă să pândească, adesea nedetectat.