Злоумышленники использовали новую шпионскую программу RatMilad против корпоративных устройств Android, замаскированную под полезное приложение, позволяющее обойти интернет-ограничения в некоторых странах.
По словам исследователей из Zimperium zLabs, на данный момент кампания проводится на Ближнем Востоке с целью сбора личной и корпоративной информации жертв.
Исследователи обнаружили, что оригинальная версия RatMilad скрывалась за приложением для подмены VPN и телефонных номеров под названием Text Me. сообщение в блоге, опубликованное в среду.
Предполагается, что функция приложения позволяет пользователю подтвердить учетную запись в социальной сети через свой телефон — «распространенный метод, используемый пользователями социальных сетей в странах, где доступ может быть ограничен или где может потребоваться вторая подтвержденная учетная запись», Zimperium zLabs — написал в своем посте исследователь Нипун Гупта.
Однако совсем недавно исследователи обнаружили живой образец шпионского ПО RatMilad, распространяемого через NumRent, переименованную и графически обновленную версию Text Me, через канал Telegram, сказал он. Его разработчики также создали веб-сайт продукта для рекламы и распространения приложения, чтобы попытаться обмануть жертв, заставив их поверить в его законность.
«Мы считаем, что злоумышленники, ответственные за RatMilad, получили код от группы AppMilad и интегрировали его в поддельное приложение для распространения среди ничего не подозревающих жертв», — написал Гупта.
Злоумышленники используют канал Telegram, чтобы «поощрять загрузку поддельного приложения с помощью социальной инженерии» и предоставление «значительных разрешений» на устройстве, добавил Гупта.
По словам исследователей, после установки и после того, как пользователь разрешит приложению доступ к нескольким службам, RatMilad загружается, предоставляя злоумышленникам практически полный контроль над устройством. Затем они могут получить доступ к камере устройства, чтобы делать снимки, записывать видео и аудио, получать точное местоположение GPS и просматривать изображения с устройства, среди прочих действий, пишет Гупта.
RatMilad получает RAT-ty: мощный похититель данных
По словам исследователей, после развертывания RatMilad получает доступ как продвинутый троян удаленного доступа (RAT), который получает и выполняет команды для сбора и извлечения различных данных и выполнения ряда вредоносных действий.
«Подобно другим мобильным шпионским программам, которые мы видели, данные, украденные с этих устройств, могут использоваться для доступа к частным корпоративным системам, шантажа жертвы и многого другого», — написал Гупта. «Злоумышленники могут затем создавать записи о жертве, загружать любые украденные материалы и собирать информацию для других гнусных действий».
Исследователи заявили, что с точки зрения эксплуатации RatMilad выполняет различные запросы к командно-контрольному серверу на основе определенного идентификатора задания и типа запроса, а затем находится в ожидании на неопределенный срок различных задач, которые он может выполнить для выполнения на устройстве.
По иронии судьбы, исследователи впервые заметили шпионское ПО, когда ему не удалось заразить корпоративное устройство клиента. Они определили одно приложение, доставляющее полезную нагрузку, и приступили к расследованию, в ходе которого обнаружили канал Telegram, используемый для более широкого распространения образца RatMilad. По их словам, пост был просмотрен более 4,700 раз с более чем 200 внешними репостами, причем жертвы в основном находились на Ближнем Востоке.
Этот конкретный экземпляр кампании RatMilad уже не был активен на момент написания сообщения в блоге, но могут быть и другие каналы Telegram. Хорошая новость заключается в том, что до сих пор исследователи не нашли никаких доказательств существования RatMilad в официальном магазине приложений Google Play.
Дилемма шпионского ПО
В соответствии со своим названием шпионское ПО предназначено для того, чтобы скрываться в тени и бесшумно работать на устройствах, чтобы следить за жертвами, не привлекая внимания.
Тем не менее, шпионское ПО само вышло за рамки своего ранее скрытого использования и стало мейнстримом, главным образом благодаря прошедшей в прошлом году блокбастерной новости о шпионском ПО Pegasus, разработанном израильской NSO Group. подвергался злоупотреблениям со стороны авторитарных правительств шпионить за журналистами, правозащитными группами, политиками и адвокатами.
В частности, устройства Android были уязвимы для шпионских кампаний. Исследователи Sophos обнаружили новые варианты шпионского ПО для Android связан с ближневосточной группой APT еще в ноябре 2021 года. Анализ из Google TAG выпущенный в мае, указывает на то, что по крайней мере восемь правительств со всего мира покупают эксплойты нулевого дня для Android в целях скрытого наблюдения.
Совсем недавно исследователи обнаружили семейство модульных шпионских программ корпоративного уровня для Android. прозванный Отшельником ведение слежки за гражданами Казахстана их правительством.
Дилемма, связанная со шпионским ПО, заключается в том, что оно может быть законно использовано правительствами и властями в санкционированных операциях по наблюдению за преступной деятельностью. Действительно, cкомпании, в настоящее время работающие в серой зоне продажи шпионского ПО, включая RCS Labs, NSO Group, Создатель FinFisher Gamma Group, израильская компания Candiru и российская Positive Technologies утверждают, что они продают его только законным спецслужбам и правоохранительным органам.
Однако большинство отвергает это утверждение, включая правительство США, которое недавно санкционированный несколько из этих организаций за содействие нарушениям прав человека и преследование журналистов, правозащитников, диссидентов, оппозиционных политиков, лидеров бизнеса и других.
Когда авторитарные правительства или субъекты угроз получают шпионское ПО, это может превратиться в чрезвычайно неприятный бизнес — настолько, что было много споров о том, что делать с продолжающимся существованием и продажей шпионского ПО. Некоторые считают, что правительства должны принять решение кто может его купить — что также может быть проблематичным, в зависимости от мотивов правительства для его использования.
Некоторые компании берут дело в свои руки, чтобы помочь защитить ограниченное количество пользователей, которые могут стать мишенью для шпионского ПО. Apple, чьи устройства iPhone были среди скомпрометированных в ходе кампании Pegasus, недавно объявила о новой функции для iOS и macOS под названием Режим блокировки Это автоматически блокирует любую системную функциональность, которая может быть захвачена даже самым изощренным шпионским программным обеспечением, спонсируемым государством, для компрометации пользовательского устройства, заявила компания.
Несмотря на все эти усилия по борьбе со шпионским ПО, недавние открытия RatMilad и Hermit, кажется, демонстрируют, что они до сих пор не удержали злоумышленников от разработки и доставки шпионского ПО в тени, где оно продолжает скрываться, часто незамеченным.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
