Angripare har använt ett nytt spionprogram mot företags Android-enheter, kallat RatMilad och förklädd som en användbar app för att komma runt vissa länders internetrestriktioner.
För närvarande är kampanjen verksam i Mellanöstern i ett brett försök att samla in offrens personliga och företagsinformation, enligt forskare från Zimperium zLabs.
Den ursprungliga versionen av RatMilad gömde sig bakom en VPN- och telefonnummer-spoofing-app som heter Text Me, avslöjade forskare i ett blogginlägg publicerat i onsdags.
Appens funktion är påstås att göra det möjligt för en användare att verifiera ett socialt mediekonto via sin telefon - "en vanlig teknik som används av sociala medieanvändare i länder där åtkomsten kan vara begränsad eller som kanske vill ha ett andra, verifierat konto," Zimperium zLabs skrev forskaren Nipun Gupta i inlägget.
På senare tid upptäckte dock forskare ett liveprov av RatMilad-spionprogrammet som distribueras genom NumRent, en omdöpt och grafiskt uppdaterad version av Text Me, via en Telegram-kanal, sa han. Dess utvecklare har också skapat en produktwebbplats för att annonsera och distribuera appen, för att försöka lura offren att tro att den är legitim.
"Vi tror att de illvilliga aktörerna som är ansvariga för RatMilad skaffade koden från AppMilad-gruppen och integrerade den i en falsk app för att distribuera till intet ont anande offer", skrev Gupta.
Angripare använder Telegram-kanalen för att "uppmuntra sidladdning av den falska appen genom social ingenjörskonst" och aktivering av "betydande behörigheter" på enheten, tillade Gupta.
När den väl har installerats, och efter att användaren har aktiverat appen för åtkomst till flera tjänster, laddas RatMilad, vilket ger angripare nästan fullständig kontroll över enheten, sa forskare. De kan sedan komma åt enhetens kamera för att ta bilder, spela in video och ljud, få exakta GPS-platser och se bilder från enheten, bland annat, skrev Gupta.
RatMilad Gets RAT-ty: Kraftfull Data-Steeler
När RatMilad väl har installerats får den åtkomst som en avancerad fjärråtkomsttrojan (RAT) som tar emot och kör kommandon för att samla in och exfiltrera en mängd olika data och utföra en rad skadliga åtgärder, sa forskare.
"I likhet med andra mobila spionprogram vi har sett, kan data som stulits från dessa enheter användas för att komma åt privata företagssystem, utpressa ett offer och mer", skrev Gupta. "De illvilliga skådespelarna kunde sedan skapa anteckningar om offret, ladda ner allt stulet material och samla in intelligens för andra skändliga metoder."
Ur ett operativt perspektiv utför RatMilad olika förfrågningar till en kommando-och-kontrollserver baserat på visst jobID och requestType, och väntar sedan och väntar på obestämd tid för de olika uppgifter som den kan utföra för att utföra på enheten, sa forskare.
Ironiskt nog märkte forskare först spionprogrammet när det misslyckades med att infektera en kunds företagsenhet. De identifierade en app som levererade nyttolasten och fortsatte med att undersöka, under vilken de upptäckte en Telegram-kanal som användes för att distribuera RatMilad-provet bredare. Inlägget hade visats mer än 4,700 200 gånger med mer än XNUMX externa delningar, sa de, med offren mestadels belägna i Mellanöstern.
Just den instansen av RatMilad-kampanjen var inte längre aktiv när blogginlägget skrevs, men det kan finnas andra Telegram-kanaler. Den goda nyheten är att forskare än så länge inte har hittat några bevis för RatMilad i den officiella Google Play appbutiken.
Spionprogramsdilemmat
Trogen sitt namn är spionprogram utformade för att lura i skuggorna och köras tyst på enheter för att övervaka offer utan att väcka uppmärksamhet.
Spionprogram har dock självt flyttat ut från utkanten av sin tidigare hemliga användning och in i mainstream, främst tack vare storfilmsnyheten som kom förra året att Pegasus spionprogram utvecklat av den israelisk-baserade NSO Group missbrukades av auktoritära regeringar att spionera på journalister, människorättsgrupper, politiker och advokater.
Speciellt Android-enheter har varit sårbara för spionprogramkampanjer. Sophos forskare avslöjade nya varianter av spionprogram för Android kopplad till en Mellanöstern APT-grupp redan i november 2021. Analys från Google TAG släpptes i maj indikerar att minst åtta regeringar från hela världen köper Android zero-day bedrifter för hemlig övervakning.
Ännu mer nyligen upptäckte forskare en Android-familj av modulär spionprogram av företagsklass döpt till Eremit genomför övervakning av medborgare i Kazakstan av deras regering.
Dilemmat kring spionprogram är att det kan ha en legitim användning av regeringar och myndigheter i sanktionerade övervakningsoperationer för att övervaka kriminell verksamhet. Faktum är att cföretag som för närvarande verkar i det grå utrymmet att sälja spionprogram – inklusive RCS Labs, NSO Group, FinFisher skapare Gamma Group, det israeliska företaget Candiru och Rysslands Positive Technologies – hävdar att de bara säljer det till legitima underrättelse- och tillsynsmyndigheter.
De flesta avvisar dock detta påstående, inklusive den amerikanska regeringen, som nyligen sanktionerats flera av dessa organisationer för att ha bidragit till kränkningar av mänskliga rättigheter och riktat mot journalister, människorättsförsvarare, dissidenter, oppositionspolitiker, företagsledare och andra.
När auktoritära regeringar eller hotaktörer skaffar spionprogram kan det verkligen bli en extremt otäck affär - så mycket att det har varit mycket debatt om vad man ska göra åt den fortsatta existensen och försäljningen av spionprogram. Vissa tror det regeringar borde få bestämma vem kan köpa det - vilket också kan vara problematiskt, beroende på regeringens motiv för att använda det.
Vissa företag tar saken i egna händer för att skydda den begränsade mängd användare som kan bli föremål för spionprogram. Apple – vars iPhone-enheter var bland de som äventyrades i Pegasus-kampanjen – tillkännagav nyligen en ny funktion på både iOS och macOS som heter Låsningsläge som automatiskt låser alla systemfunktioner som kan kapas av även de mest sofistikerade, statligt sponsrade legosoldatsspionprogram för att äventyra en användarenhet, sa företaget.
Trots alla dessa ansträngningar för att slå ner på spionprogram verkar de senaste upptäckterna av RatMilad och Hermit visa att de hittills inte har avskräckt hotaktörer från att utveckla och leverera spionprogram i skuggan, där det fortsätter att lura, ofta oupptäckt.
