Saldırganlar, RatMilad adı verilen ve bazı ülkelerin İnternet kısıtlamalarını aşmak için yararlı bir uygulama görünümüne bürünen kurumsal Android cihazlara karşı yeni bir casus yazılım kullanıyor.
Zimperium zLabs araştırmacılarına göre kampanya şimdilik Orta Doğu'da kurbanların kişisel ve kurumsal bilgilerini toplamak amacıyla yürütülüyor.
Araştırmacılar, RatMilad'ın orijinal versiyonunun Text Me adlı bir VPN ve telefon numarası sahtekarlığı uygulamasının arkasına saklandığını ortaya çıkardı. Çarşamba günü yayınlanan bir blog yazısı.
Uygulamanın işlevinin, bir kullanıcının telefonu aracılığıyla bir sosyal medya hesabını doğrulamasını sağlamak olduğu iddia ediliyor - Zimperium zLabs, "erişimin kısıtlanabileceği veya ikinci, doğrulanmış bir hesap isteyebilecek ülkelerdeki sosyal medya kullanıcıları tarafından kullanılan yaygın bir tekniktir". araştırmacı Nipun Gupta gönderide şunu yazdı.
Ancak yakın zamanda araştırmacılar, RatMilad casus yazılımının canlı bir örneğinin, Text Me'nin yeniden adlandırılmış ve grafiksel olarak güncellenmiş bir versiyonu olan NumRent aracılığıyla bir Telegram kanalı aracılığıyla dağıtıldığını keşfettiklerini söyledi. Geliştiricileri ayrıca mağdurları uygulamanın meşru olduğuna inandırmak amacıyla uygulamanın reklamını yapmak ve dağıtmak için bir ürün web sitesi de oluşturdu.
Gupta, "RatMilad'dan sorumlu kötü niyetli aktörlerin kodu AppMilad grubundan aldığına ve şüphelenmeyen kurbanlara dağıtmak üzere sahte bir uygulamaya entegre ettiğine inanıyoruz" diye yazdı.
Gupta, saldırganların Telegram kanalını "sosyal mühendislik yoluyla sahte uygulamanın dışarıdan yüklenmesini teşvik etmek" ve cihazda "önemli izinlerin" etkinleştirilmesini sağlamak için kullandığını ekledi.
Araştırmacılar, RatMilad'ın yüklendikten sonra ve kullanıcı uygulamanın birden fazla hizmete erişmesini sağladıktan sonra saldırganlara cihaz üzerinde neredeyse tam kontrol sağladığını söyledi. Gupta, daha sonra diğer eylemlerin yanı sıra fotoğraf çekmek, video ve ses kaydetmek, kesin GPS konumları almak ve cihazdaki resimleri görüntülemek için cihazın kamerasına erişebileceklerini yazdı.
RatMilad RAT-ty'yi Aldı: Güçlü Veri Hırsızı
Araştırmacılar, RatMilad'ın konuşlandırıldıktan sonra, çeşitli verileri toplamak ve sızdırmak ve bir dizi kötü amaçlı eylem gerçekleştirmek için komutları alan ve yürüten gelişmiş bir uzaktan erişim Truva Atı (RAT) gibi eriştiğini söyledi.
Gupta, "Gördüğümüz diğer mobil casus yazılımlara benzer şekilde, bu cihazlardan çalınan veriler, özel kurumsal sistemlere erişmek, bir kurbana şantaj yapmak ve daha fazlası için kullanılabilir" diye yazdı. "Kötü niyetli aktörler daha sonra kurban hakkında notlar alabilir, çalınan materyalleri indirebilir ve diğer hain uygulamalar için istihbarat toplayabilir."
Araştırmacılar, operasyonel açıdan bakıldığında, RatMilad'ın belirli jobID ve requestType'a dayalı olarak bir komut ve kontrol sunucusuna çeşitli istekler gerçekleştirdiğini ve ardından cihazda gerçekleştirmek üzere gerçekleştirebileceği çeşitli görevleri süresiz olarak bekleyip beklediğini söyledi.
İronik bir şekilde, araştırmacılar casus yazılımı ilk olarak müşterinin kurumsal cihazına bulaşmadığında fark ettiler. Yükü sağlayan bir uygulama belirlediler ve araştırmaya devam ettiler; bu sırada RatMilad örneğini daha geniş bir alana dağıtmak için bir Telegram kanalının kullanıldığını keşfettiler. Gönderinin 4,700'den fazla dış paylaşımla 200'den fazla kez görüntülendiğini ve mağdurların çoğunlukla Orta Doğu'da bulunduğunu söylediler.
RatMilad kampanyasının bu özel örneği, blog yazısının yazıldığı sırada artık aktif değildi, ancak başka Telegram kanalları da olabilir. İyi haber şu ki, şu ana kadar araştırmacılar resmi Google Play uygulama mağazasında RatMilad'a dair herhangi bir kanıt bulamadılar.
Casus Yazılım İkilemi
Casus yazılım, ismine uygun olarak, gölgelerde gizlenecek ve kurbanları dikkat çekmeden izlemek için cihazlarda sessizce çalışacak şekilde tasarlanmıştır.
Bununla birlikte, casus yazılımlar, geçen yıl İsrail merkezli NSO Grubu tarafından geliştirilen Pegasus casus yazılımının gişe rekorları kıran haberi sayesinde, daha önce gizli kullanımının dışında ana akım haline geldi. otoriter hükümetler tarafından istismar ediliyordu Gazeteciler, insan hakları grupları, politikacılar ve avukatlar hakkında casusluk yapmak.
Özellikle Android cihazlar casus yazılım kampanyalarına karşı savunmasızdır. Sophos araştırmacıları ortaya çıkardı Android casus yazılımının yeni çeşitleri Kasım 2021'de Orta Doğu'daki bir APT grubuna bağlanmıştı. Google TAG'dan analiz Mayıs ayında yayımlanan rapor, dünyanın dört bir yanından en az sekiz hükümetin gizli gözetleme amacıyla Android sıfır gün açıklarını satın aldığını gösteriyor.
Daha da yakın bir zamanda araştırmacılar, kurumsal düzeyde bir Android modüler casus yazılım ailesini keşfettiler Münzevi lakaplı Kazakistan vatandaşlarının hükümetleri tarafından gözetimi yapılıyor.
Casus yazılımları çevreleyen ikilem, suç faaliyetlerini izlemek için hükümetler ve yetkililer tarafından onaylı gözetim operasyonlarında meşru bir şekilde kullanılabilmesidir. Gerçekten de cRCS Labs, NSO Group dahil olmak üzere şu anda casus yazılım satışının gri alanında faaliyet gösteren şirketler FinFisher yaratıcısı Gamma Group, İsrailli şirket Candiru ve Rusya'nın Positive Technologies, bunu yalnızca meşru istihbarat ve icra kurumlarına sattıklarını iddia ediyor.
Ancak ABD hükümeti de dahil olmak üzere çoğu kişi bu iddiayı reddediyor. yakın zamanda onaylandı bu kuruluşların birçoğunun insan hakları ihlallerine katkıda bulunmaları ve gazetecileri, insan hakları savunucularını, muhalifleri, muhalif politikacıları, iş dünyası liderlerini ve diğerlerini hedef almaları.
Otoriter hükümetler veya tehdit aktörleri casus yazılım edindiğinde, bu gerçekten son derece kötü bir iş haline gelebilir; öyle ki, casus yazılımların varlığının devam etmesi ve satışı konusunda ne yapılması gerektiği konusunda çok fazla tartışma yaşandı. Bazıları buna inanıyor hükümetler karar vermeli onu kim satın alabilir ki bu da hükümetin onu kullanma amacına bağlı olarak sorunlu olabilir.
Bazı şirketler, casus yazılımların hedefi olabilecek sınırlı sayıdaki kullanıcının korunmasına yardımcı olmak için konuyu kendi ellerine alıyor. Pegasus kampanyasında ele geçirilenler arasında iPhone cihazları da bulunan Apple, yakın zamanda hem iOS hem de macOS'ta yeni bir özellik duyurdu. Kilitleme Modu Şirket, bu sistemin, en karmaşık, devlet destekli paralı asker casus yazılımları tarafından bile bir kullanıcı cihazını tehlikeye atmak amacıyla ele geçirilebilecek tüm sistem işlevlerini otomatik olarak kilitlediğini söyledi.
Casus yazılımları çökertmeye yönelik tüm bu çabalara rağmen, RatMilad ve Hermit'in son keşifleri, tehdit aktörlerini, genellikle fark edilmeden gizlenmeye devam eden gölgelerde casus yazılım geliştirip dağıtmaktan şimdiye kadar caydıramadığı görülüyor.
