攻击者一直在对企业 Android 设备使用一种新的间谍软件,称为 RatMilad,并伪装成一个有用的应用程序来绕过一些国家的互联网限制。
据 Zimperium zLabs 的研究人员称,目前,该活动正在中东开展,广泛收集受害者的个人和公司信息。
研究人员在 周三发表的一篇博文.
该应用程序的功能据称是让用户能够通过他或她的手机验证社交媒体账户——“社交媒体用户在访问可能受到限制或可能需要第二个经过验证的账户的国家使用的一种常用技术,”Zimperium zLabs研究员 Nipun Gupta 在帖子中写道。
然而,最近,研究人员发现了一个 RatMilad 间谍软件的实时样本,该样本通过 Telegram 频道通过 NumRent 分发,这是一个重命名和图形更新的 Text Me 版本,他说。 它的开发人员还创建了一个产品网站,用于广告和分发该应用程序,试图欺骗受害者相信它是合法的。
“我们认为,对 RatMilad 负有责任的恶意行为者从 AppMilad 组获取了代码,并将其集成到一个假应用程序中,然后分发给毫无戒心的受害者,”古普塔写道。
Gupta 补充说,攻击者正在使用 Telegram 频道“鼓励通过社会工程侧载虚假应用程序”并在设备上启用“重要权限”。
研究人员表示,一旦安装,并且在用户启用该应用程序访问多项服务后,RatMilad 就会加载,攻击者几乎可以完全控制该设备。 Gupta 写道,然后他们可以访问设备的摄像头拍照、录制视频和音频、获取精确的 GPS 位置以及查看设备中的图片,以及其他操作。
RatMilad 获得 RAT-ty:强大的数据窃取器
研究人员表示,一旦部署,RatMilad 就会像高级远程访问木马 (RAT) 一样访问,该木马接收并执行命令以收集和泄露各种数据并执行一系列恶意操作。
“与我们看到的其他移动间谍软件类似,从这些设备中窃取的数据可用于访问私人公司系统、勒索受害者等等,”古普塔写道。 “然后,恶意行为者可以在受害者身上制作笔记,下载任何被盗材料,并为其他邪恶行为收集情报。”
研究人员表示,从操作的角度来看,RatMilad 根据特定的 jobID 和 requestType 向命令和控制服务器执行各种请求,然后无限期地驻留和等待它可以在设备上执行的各种任务。
具有讽刺意味的是,研究人员最初在未能感染客户的企业设备时注意到了该间谍软件。 他们确定了一个提供有效载荷的应用程序并进行了调查,在此期间他们发现了一个 Telegram 频道被用于更广泛地分发 RatMilad 样本。 他们说,该帖子的浏览量已超过 4,700 次,外部分享次数超过 200 次,受害者大多位于中东。
RatMilad 活动的特定实例在撰写博客文章时不再活跃,但可能还有其他 Telegram 频道。 好消息是,到目前为止,研究人员还没有在 Google Play 官方应用商店中找到 RatMilad 的任何证据。
间谍软件的困境
正如其名,间谍软件旨在潜伏在暗处并在设备上静默运行以监视受害者,而不会引起注意。
然而,间谍软件本身已经摆脱了以前的秘密使用,进入了主流,这主要归功于去年爆出的重磅消息,即以色列 NSO 集团开发的 Pegasus 间谍软件 被威权政府滥用 监视记者、人权组织、政治家和律师。
Android 设备尤其容易受到间谍软件活动的攻击。 Sophos 研究人员发现 Android 间谍软件的新变种 早在 2021 年 XNUMX 月就与一个中东 APT 组织有关联。 来自 Google TAG 的分析 XNUMX 月发布的数据表明,全球至少有八个政府正在购买 Android 零日漏洞,用于秘密监视目的。
甚至最近,研究人员发现了一个企业级的 Android 模块化间谍软件家族 被称为隐士 政府对哈萨克斯坦公民进行监视。
围绕间谍软件的两难境地是,政府和当局可以合法地使用它来实施经批准的监视行动,以监视犯罪活动。 的确, c目前在销售间谍软件的灰色空间中运营的公司——包括 RCS Labs、NSO Group、 FinFisher 创建者 Gamma Group、以色列公司 Candiru 和俄罗斯的 Positive Technologies——坚称他们只将其出售给合法的情报和执法机构。
然而,大多数人拒绝这一说法,包括美国政府, 最近批准 其中一些组织助长了侵犯人权行为和针对记者、人权捍卫者、持不同政见者、反对派政治家、商界领袖和其他人的行为。
当威权政府或威胁行为者获得间谍软件时,它确实会成为一件非常令人讨厌的事情——以至于对于如何处理间谍软件的持续存在和销售问题一直存在很多争论。 有人认为 政府应该做出决定 谁可以购买它——这也可能是有问题的,这取决于政府使用它的动机。
一些公司正在自己处理此事,以帮助保护可能成为间谍软件目标的有限用户。 苹果——它的 iPhone 设备是在 Pegasus 活动中受损的设备之一——最近宣布了 iOS 和 macOS 上的一项新功能,称为 锁定模式 该公司表示,这会自动锁定任何系统功能,即使是最复杂的国家赞助的雇佣间谍软件也可能劫持这些功能,从而危及用户设备。
尽管采取了所有这些措施来打击间谍软件,但最近发现的 RatMilad 和 Hermit 似乎表明,到目前为止,它们并没有阻止威胁行为者在暗处开发和传播间谍软件,间谍软件继续潜伏,通常未被发现。
