Attackers have been using a new spyware against enterprise Android devices, dubbed RatMilad and disguised as a helpful app to get around some countries’ Internet restrictions.
For now, the campaign is operating in the Middle East in a broad effort to gather victims’ personal and corporate information, according to researchers from Zimperium zLabs.
Prvotna različica RatMilad se je skrivala za aplikacijo za ponarejanje VPN-jev in telefonskih številk, imenovano Text Me, so razkrili raziskovalci v objava na blogu, objavljena v sredo.
The app’s function is purportedly to enable a user to verify a social media account through his or her phone — “a common technique used by social media users in countries where access might be restricted or that might want a second, verified account,” Zimperium zLabs researcher Nipun Gupta wrote in the post.
Pred kratkim pa so raziskovalci odkrili živi vzorec vohunske programske opreme RatMilad, ki se distribuira prek NumRent, preimenovane in grafično posodobljene različice Text Me, prek kanala Telegram, je dejal. Njegovi razvijalci so ustvarili tudi spletno stran izdelka za oglaševanje in distribucijo aplikacije, da bi poskušali žrtve preslepiti, da verjamejo, da je zakonita.
“We believe the malicious actors responsible for RatMilad acquired the code from the AppMilad group and integrated it into a fake app to distribute to unsuspecting victims,” Gupta wrote.
Attackers are using the Telegram channel to “encourage the sideloading of the fake app through social engineering” and the enablement of “significant permissions” on the device, Gupta added.
Once installed, and after the user enables the app to access multiple services, RatMilad loads, giving attackers almost complete control over the device, researchers said. They then can access the device’s camera to take pictures, record video and audio, get precise GPS locations, and view pictures from the device, among other actions, Gupta wrote.
RatMilad dobi RAT-ty: zmogljiv krajo podatkov
Ko je nameščen, RatMilad dostopa kot trojanec z naprednim oddaljenim dostopom (RAT), ki sprejema in izvaja ukaze za zbiranje in izločanje različnih podatkov ter izvajanje vrste zlonamernih dejanj, pravijo raziskovalci.
“Similar to other mobile spyware we have seen, the data stolen from these devices could be used to access private corporate systems, blackmail a victim, and more,” Gupta wrote. “The malicious actors could then produce notes on the victim, download any stolen materials, and gather intelligence for other nefarious practices.”
Z operativnega vidika RatMilad izvaja različne zahteve do ukazno-nadzornega strežnika na podlagi določenega jobID-ja in requestType-a, nato pa za nedoločen čas ostane in čaka na različne naloge, ki jih lahko izvede v napravi, so povedali raziskovalci.
Ironically, researchers initially noticed the spyware when it failed to infect a customer’s enterprise device. They identified one app delivering the payload and proceeded to investigate, during which they discovered a Telegram channel being used to distribute the RatMilad sample more broadly. The post had been viewed more than 4,700 times with more than 200 external shares, they said, with the victims mostly situated in the Middle East.
Ta konkreten primer kampanje RatMilad ni bil več aktiven v času, ko je bila objava v blogu napisana, vendar bi lahko obstajali drugi kanali Telegram. Dobra novica je, da raziskovalci doslej niso našli nobenih dokazov o RatMilad v uradni trgovini z aplikacijami Google Play.
Dilema vohunske programske opreme
V skladu s svojim imenom je vohunska programska oprema zasnovana tako, da se skriva v senci in tiho deluje na napravah za spremljanje žrtev brez vzbujanja pozornosti.
Vendar pa se je vohunska programska oprema sama premaknila z obrobja svoje prejšnje prikrite uporabe in prešla v običajni tok, predvsem po zaslugi lanskoletne lanskoletne uspešnice, da je vohunsko programsko opremo Pegasus razvila skupina NSO s sedežem v Izraelu. je bil zlorabljen s strani avtoritarnih vlad vohuniti za novinarji, skupinami za človekove pravice, politiki in odvetniki.
Zlasti naprave Android so bile ranljive za akcije vohunske programske opreme. Sophosovi raziskovalci so odkrili nove različice vohunske programske opreme za Android novembra 2021 povezana z bližnjevzhodno skupino APT. Analiza iz Google TAG objavljen maja kaže, da vsaj osem vlad z vsega sveta kupuje izkoriščanja ničelnega dne za Android za namene prikritega nadzora.
Še pred kratkim so raziskovalci odkrili družino modularne vohunske programske opreme Android za podjetja poimenovali Puščavnik izvajanje nadzora nad državljani Kazahstana s strani njihove vlade.
Dilema v zvezi z vohunsko programsko opremo je, da jo lahko vlade in organi zakonito uporabljajo v odobrenih operacijah nadzora za spremljanje kriminalnih dejavnosti. Dejansko, cpodjetja, ki trenutno delujejo v sivem prostoru prodaje vohunske programske opreme - vključno z RCS Labs, NSO Group, FinFisher ustvarjalec Gamma Group, Israeli company Candiru, and Russia’s Positive Technologies — maintain that they only sell it to legitimate intelligence and enforcement agencies.
Vendar večina to trditev zavrača, vključno z ameriško vlado, ki nedavno sankcioniran več teh organizacij zaradi prispevanja k zlorabam človekovih pravic in ciljanja na novinarje, zagovornike človekovih pravic, disidente, opozicijske politike, poslovneže in druge.
Ko avtoritarne vlade ali akterji groženj dobijo vohunsko programsko opremo, lahko to postane res zelo neprijeten posel - tako zelo, da je bilo veliko razprav o tem, kaj storiti glede nadaljnjega obstoja in prodaje vohunske programske opreme. Nekateri menijo, da vlade bi morale odločati who can buy it — which also can be problematic, depending on a government’s motives for using it.
Nekatera podjetja vzamejo zadevo v svoje roke, da bi zaščitila omejeno število uporabnikov, ki so morda tarča vohunske programske opreme. Apple – katerega naprave iPhone so bile med ogroženimi v kampanji Pegasus – je pred kratkim napovedal novo funkcijo za iOS in macOS, imenovano Način zaklepanja ki samodejno zaklene vse funkcije sistema, ki bi jih lahko ugrabila celo najbolj izpopolnjena vohunska programska oprema, ki jo sponzorira država, da bi ogrozila uporabniško napravo, so sporočili iz podjetja.
Kljub vsem tem prizadevanjem za zatiranje vohunske programske opreme se zdi, da nedavna odkritja RatMilada in Hermita dokazujejo, da akterjev groženj doslej nista odvrnila od razvoja in dostave vohunske programske opreme v senci, kjer se še naprej skriva, pogosto neodkrita.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
