Зловмисники використовували нове шпигунське програмне забезпечення проти корпоративних пристроїв Android під назвою RatMilad і замасковане під корисну програму для обходу інтернет-обмежень деяких країн.
За даними дослідників із Zimperium zLabs, наразі кампанія діє на Близькому Сході, намагаючись зібрати особисту та корпоративну інформацію жертв.
Дослідники виявили, що оригінальна версія RatMilad ховалася за додатком для підробки VPN і телефонних номерів під назвою Text Me. повідомлення в блозі, опубліковане в середу.
Функція програми нібито полягає в тому, щоб дозволити користувачеві підтвердити обліковий запис у соціальних мережах за допомогою свого телефону — «поширена техніка, яку використовують користувачі соціальних мереж у країнах, де доступ може бути обмежений або яким може знадобитися другий підтверджений обліковий запис», Zimperium zLabs – написав у дописі дослідник Ніпун Гупта.
Однак нещодавно дослідники виявили живий зразок шпигунського ПЗ RatMilad, який поширюється через NumRent, перейменовану та графічно оновлену версію Text Me, через канал Telegram, сказав він. Його розробники також створили веб-сайт продукту для реклами та розповсюдження програми, щоб спробувати обдурити жертв, щоб переконати їх у законності.
«Ми вважаємо, що зловмисники, відповідальні за RatMilad, отримали код від групи AppMilad і інтегрували його у підроблений додаток для розповсюдження нічого не підозрюючим жертвам», — написав Гупта.
Гупта додав, що зловмисники використовують канал Telegram, щоб «заохочувати стороннє завантаження підробленого додатка за допомогою соціальної інженерії» та надання «важливих дозволів» на пристрої.
За словами дослідників, після встановлення та після того, як користувач надає програмі доступ до кількох служб, RatMilad завантажується, надаючи зловмисникам майже повний контроль над пристроєм. Потім вони можуть отримати доступ до камери пристрою, щоб робити фотографії, записувати відео та аудіо, отримувати точне місцезнаходження GPS і переглядати зображення з пристрою, серед інших дій, написав Гупта.
RatMilad отримує RAT-ty: потужний викрадач даних
За словами дослідників, після розгортання RatMilad працює як розширений троян віддаленого доступу (RAT), який отримує та виконує команди для збору та викрадання різноманітних даних і виконання низки зловмисних дій.
«Подібно до інших мобільних шпигунських програм, які ми бачили, дані, викрадені з цих пристроїв, можуть використовуватися для доступу до приватних корпоративних систем, шантажувати жертву тощо», — написав Гупта. «Тоді зловмисники могли створювати нотатки про жертву, завантажувати будь-які вкрадені матеріали та збирати інформацію для інших мерзенних дій».
З операційної точки зору RatMilad виконує різні запити до командно-контрольного сервера на основі певного jobID і requestType, а потім затримується і чекає на невизначений час для виконання різних завдань, які він може виконати на пристрої, кажуть дослідники.
За іронією долі, дослідники спочатку помітили шпигунське програмне забезпечення, коли йому не вдалося заразити корпоративний пристрій клієнта. Вони визначили один додаток, який доставляє корисне навантаження, і продовжили розслідування, під час якого виявили, що канал Telegram використовується для більш широкого розповсюдження зразка RatMilad. Повідомлення переглянули понад 4,700 разів із більш ніж 200 зовнішніми публікаціями, за їх словами, жертви переважно перебувають на Близькому Сході.
Цей конкретний екземпляр кампанії RatMilad більше не був активним на момент написання публікації в блозі, але могли бути інші канали Telegram. Хороша новина полягає в тому, що наразі дослідники не знайшли доказів RatMilad в офіційному магазині додатків Google Play.
Дилема шпигунського ПЗ
Відповідно до своєї назви, шпигунське програмне забезпечення створене для того, щоб ховатися в тіні та безшумно працювати на пристроях для спостереження за жертвами, не привертаючи уваги.
Однак шпигунське програмне забезпечення вийшло за межі свого попереднього таємного використання в мейнстрім, головним чином завдяки гучній новині, яка стала відомою минулого року, про шпигунське програмне забезпечення Pegasus, розроблене ізраїльською NSO Group. зазнав зловживань з боку авторитарних урядів шпигувати за журналістами, правозахисними групами, політиками та адвокатами.
Пристрої Android, зокрема, були вразливі до шпигунських кампаній. Дослідники Sophos виявили нові варіанти шпигунського програмного забезпечення Android ще в листопаді 2021 року пов’язаний із групою APT з Близького Сходу. Аналіз від Google TAG опублікований у травні вказує на те, що принаймні вісім урядів з усього світу купують експлойти нульового дня Android для цілей прихованого спостереження.
Ще зовсім недавно дослідники виявили сімейство модульних шпигунських програм для Android корпоративного рівня отримав назву Пустельник ведення спостереження за громадянами Казахстану з боку їх уряду.
Дилема навколо шпигунського програмного забезпечення полягає в тому, що воно може законно використовуватися урядами та органами влади в санкціонованих операціях спостереження для відстеження злочинної діяльності. Дійсно, cкомпаній, які зараз працюють у сірому просторі продажу шпигунського програмного забезпечення, зокрема RCS Labs, NSO Group, Творець FinFisher Gamma Group, ізраїльська компанія Candiru та російська Positive Technologies — стверджують, що вони продають його лише законним спецслужбам і правоохоронним органам.
Однак більшість заперечує це твердження, включаючи уряд США, який нещодавно санкціонований кілька з цих організацій за сприяння порушенням прав людини та нападам на журналістів, правозахисників, дисидентів, опозиційних політиків, лідерів бізнесу та інших.
Коли авторитарні уряди чи загрозливі суб’єкти отримують шпигунське програмне забезпечення, це справді може стати надзвичайно неприємною справою — настільки, що було багато дебатів про те, що робити з подальшим існуванням і продажем шпигунського програмного забезпечення. Деякі вважають, що уряди повинні приймати рішення хто може його купити — що також може бути проблематичним, залежно від мотивів уряду використовувати його.
Деякі компанії беруть справу у свої руки, щоб захистити обмежену кількість користувачів, які можуть стати мішенню шпигунського програмного забезпечення. Компанія Apple, чиї пристрої iPhone були серед зламаних під час кампанії Pegasus, нещодавно анонсувала нову функцію для iOS і macOS під назвою Режим блокування яка автоматично блокує будь-яку функціональність системи, яка може бути захоплена навіть найскладнішим шпигунським програмним забезпеченням, що фінансується державою, щоб скомпрометувати пристрій користувача, повідомила компанія.
Незважаючи на всі ці зусилля, спрямовані на боротьбу зі шпигунським програмним забезпеченням, нещодавні відкриття RatMilad і Hermit, схоже, демонструють, що вони наразі не завадили зловмисникам розробляти та доставляти шпигунське програмне забезпечення в тіні, де воно продовжує ховатися, часто непоміченим.
