Angreifer haben eine neue Spyware gegen Android-Unternehmensgeräte mit dem Namen RatMilad eingesetzt, die als hilfreiche App getarnt ist, um die Internetbeschränkungen einiger Länder zu umgehen.
Laut Forschern von Zimperium zLabs arbeitet die Kampagne vorerst im Nahen Osten, um die persönlichen und Unternehmensinformationen der Opfer zu sammeln.
Die Originalversion von RatMilad versteckte sich hinter einer VPN- und Telefonnummern-Spoofing-App namens Text Me, wie Forscher enthüllten ein Blogbeitrag, der am Mittwoch veröffentlicht wurde.
Die Funktion der App soll es einem Benutzer angeblich ermöglichen, ein Social-Media-Konto über sein Telefon zu verifizieren – „eine gängige Technik, die von Social-Media-Benutzern in Ländern verwendet wird, in denen der Zugang möglicherweise eingeschränkt ist oder die möglicherweise ein zweites, verifiziertes Konto wünschen“, Zimperium zLabs Forscher Nipun Gupta schrieb in der Post.
Vor kurzem entdeckten Forscher jedoch eine Live-Probe der RatMilad-Spyware, die über NumRent, eine umbenannte und grafisch aktualisierte Version von Text Me, über einen Telegrammkanal verbreitet wird, sagte er. Seine Entwickler haben auch eine Produkt-Website erstellt, um die App zu bewerben und zu verteilen, um zu versuchen, die Opfer glauben zu machen, dass sie legitim ist.
„Wir glauben, dass die für RatMilad verantwortlichen böswilligen Akteure den Code von der AppMilad-Gruppe erworben und in eine gefälschte App integriert haben, um sie an ahnungslose Opfer zu verteilen“, schrieb Gupta.
Angreifer nutzen den Telegram-Kanal, um „das Seitenladen der gefälschten App durch Social Engineering zu fördern“ und „erhebliche Berechtigungen“ auf dem Gerät zu aktivieren, fügte Gupta hinzu.
Nach der Installation und nachdem der Benutzer der App den Zugriff auf mehrere Dienste ermöglicht hat, lädt RatMilad und gibt Angreifern fast die vollständige Kontrolle über das Gerät, so die Forscher. Sie können dann unter anderem auf die Kamera des Geräts zugreifen, um Bilder aufzunehmen, Video und Audio aufzunehmen, genaue GPS-Standorte zu erhalten und Bilder vom Gerät anzuzeigen, schrieb Gupta.
RatMilad bekommt RAT-ty: Leistungsstarker Datendieb
Nach der Bereitstellung greift RatMilad wie ein fortgeschrittener Fernzugriffstrojaner (RAT) zu, der Befehle empfängt und ausführt, um eine Vielzahl von Daten zu sammeln und zu exfiltrieren und eine Reihe böswilliger Aktionen auszuführen, sagten Forscher.
„Ähnlich wie bei anderer mobiler Spyware, die wir gesehen haben, könnten die von diesen Geräten gestohlenen Daten verwendet werden, um auf private Unternehmenssysteme zuzugreifen, ein Opfer zu erpressen und vieles mehr“, schrieb Gupta. „Die böswilligen Akteure könnten dann Notizen über das Opfer erstellen, gestohlenes Material herunterladen und Informationen für andere schändliche Praktiken sammeln.“
Aus betrieblicher Sicht führt RatMilad verschiedene Anfragen an einen Command-and-Control-Server basierend auf einer bestimmten Job-ID und einem bestimmten RequestType durch und wartet dann auf unbestimmte Zeit auf die verschiedenen Aufgaben, die es ausführen kann, um auf dem Gerät ausgeführt zu werden, sagten die Forscher.
Ironischerweise bemerkten die Forscher die Spyware zunächst, als es ihr nicht gelang, das Unternehmensgerät eines Kunden zu infizieren. Sie identifizierten eine App, die die Nutzdaten lieferte, und fuhren mit der Untersuchung fort, bei der sie einen Telegram-Kanal entdeckten, der verwendet wurde, um die RatMilad-Probe breiter zu verbreiten. Der Beitrag wurde mehr als 4,700 Mal mit mehr als 200 externen Shares angesehen, sagten sie, wobei die Opfer hauptsächlich im Nahen Osten angesiedelt waren.
Diese spezielle Instanz der RatMilad-Kampagne war zum Zeitpunkt des Schreibens des Blogposts nicht mehr aktiv, aber es könnte andere Telegram-Kanäle geben. Die gute Nachricht ist, dass Forscher bisher keine Beweise für RatMilad im offiziellen Google Play App Store gefunden haben.
Das Spyware-Dilemma
Wie der Name schon sagt, ist Spyware darauf ausgelegt, im Verborgenen zu lauern und unbemerkt auf Geräten zu laufen, um Opfer zu überwachen, ohne Aufmerksamkeit zu erregen.
Spyware hat sich jedoch selbst aus dem Randbereich seiner zuvor verdeckten Verwendung heraus und in den Mainstream bewegt, hauptsächlich dank der Blockbuster-Nachricht, die letztes Jahr bekannt wurde, dass die Pegasus-Spyware von der in Israel ansässigen NSO Group entwickelt wurde von autoritären Regierungen missbraucht wurde Journalisten, Menschenrechtsgruppen, Politiker und Anwälte auszuspionieren.
Insbesondere Android-Geräte waren anfällig für Spyware-Kampagnen. Sophos-Forscher aufgedeckt neue Varianten von Android-Spyware bereits im November 2021 mit einer APT-Gruppe im Nahen Osten verbunden. Analyse von Google TAG Die im Mai veröffentlichte Sicherheitslücke deutet darauf hin, dass mindestens acht Regierungen aus der ganzen Welt Android-Zero-Day-Exploits für verdeckte Überwachungszwecke kaufen.
Erst kürzlich entdeckten Forscher eine Android-Familie modularer Spyware für Unternehmen Einsiedler genannt Überwachung der Bürger Kasachstans durch ihre Regierung.
Das Dilemma im Zusammenhang mit Spyware besteht darin, dass sie von Regierungen und Behörden in sanktionierten Überwachungsoperationen zur Überwachung krimineller Aktivitäten legitim eingesetzt werden kann. In der Tat, die cUnternehmen, die derzeit in der Grauzone des Verkaufs von Spyware tätig sind – darunter RCS Labs, NSO Group, FinFisher-Erfinder Gamma Group, das israelische Unternehmen Candiru und Positive Technologies aus Russland – behaupten, dass sie es nur an legitime Geheimdienste und Strafverfolgungsbehörden verkaufen.
Die meisten lehnen diese Behauptung jedoch ab, einschließlich der US-Regierung, die vor kurzem sanktioniert mehrere dieser Organisationen für ihren Beitrag zu Menschenrechtsverletzungen und die gezielte Bekämpfung von Journalisten, Menschenrechtsverteidigern, Dissidenten, Oppositionspolitikern, Wirtschaftsführern und anderen.
Wenn autoritäre Regierungen oder Bedrohungsakteure sich Spyware beschaffen, kann dies in der Tat zu einem äußerst unangenehmen Geschäft werden – so sehr, dass viel darüber diskutiert wurde, was mit dem Fortbestand und dem Verkauf von Spyware zu tun ist. Manche glauben das Regierungen sollen entscheiden wer kann es kaufen – was auch problematisch sein kann, abhängig von den Motiven einer Regierung, es zu verwenden.
Einige Unternehmen nehmen die Angelegenheit selbst in die Hand, um die begrenzte Anzahl von Benutzern zu schützen, die möglicherweise Ziel von Spyware sind. Apple – dessen iPhone-Geräte zu den in der Pegasus-Kampagne kompromittierten gehörten – hat kürzlich eine neue Funktion für iOS und macOS mit dem Namen „ Sperrmodus Das sperrt automatisch alle Systemfunktionen, die selbst von der ausgeklügeltsten, staatlich geförderten Söldner-Spyware entführt werden könnten, um ein Benutzergerät zu kompromittieren, sagte das Unternehmen.
Trotz all dieser Bemühungen, gegen Spyware vorzugehen, scheinen die jüngsten Entdeckungen von RatMilad und Hermit zu zeigen, dass sie Bedrohungsakteure bisher nicht davon abgehalten haben, Spyware im Verborgenen zu entwickeln und bereitzustellen, wo sie weiterhin oft unentdeckt lauert.
