Những kẻ tấn công đã sử dụng một phần mềm gián điệp mới chống lại các thiết bị Android của doanh nghiệp, có tên là RatMilad và được ngụy trang dưới dạng một ứng dụng hữu ích để vượt qua các hạn chế Internet của một số quốc gia.
Theo các nhà nghiên cứu từ Zimperium zLabs, hiện tại, chiến dịch này đang hoạt động ở Trung Đông với nỗ lực rộng rãi nhằm thu thập thông tin cá nhân và công ty của nạn nhân.
Phiên bản gốc của RatMilad ẩn đằng sau một ứng dụng giả mạo VPN và số điện thoại có tên là Text Me, các nhà nghiên cứu đã tiết lộ trong một bài đăng trên blog được xuất bản vào thứ Tư.
Chức năng của ứng dụng này nhằm mục đích cho phép người dùng xác minh tài khoản mạng xã hội thông qua điện thoại của họ - “một kỹ thuật phổ biến được người dùng mạng xã hội sử dụng ở các quốc gia nơi quyền truy cập có thể bị hạn chế hoặc có thể muốn có tài khoản thứ hai, đã được xác minh,” Zimperium zLabs nhà nghiên cứu Nipun Gupta đã viết trong bài đăng.
Tuy nhiên, gần đây hơn, các nhà nghiên cứu đã phát hiện ra một mẫu trực tiếp của phần mềm gián điệp RatMilad đang được phân phối thông qua NumRent, một phiên bản được đổi tên và cập nhật đồ họa của Text Me, thông qua một kênh Telegram, ông nói. Các nhà phát triển của nó cũng đã tạo một trang web sản phẩm để quảng cáo và phân phối ứng dụng, nhằm cố gắng đánh lừa nạn nhân tin rằng nó hợp pháp.
Gupta viết: “Chúng tôi tin rằng những kẻ độc hại chịu trách nhiệm về RatMilad đã lấy mã từ nhóm AppMilad và tích hợp nó vào một ứng dụng giả mạo để phân phối cho những nạn nhân không nghi ngờ”.
Gupta cho biết thêm, những kẻ tấn công đang sử dụng kênh Telegram để “khuyến khích việc tải ứng dụng giả mạo thông qua kỹ thuật xã hội” và kích hoạt “các quyền quan trọng” trên thiết bị.
Các nhà nghiên cứu cho biết sau khi cài đặt và sau khi người dùng cho phép ứng dụng truy cập nhiều dịch vụ, RatMilad sẽ tải, giúp kẻ tấn công gần như có toàn quyền kiểm soát thiết bị. Sau đó, họ có thể truy cập vào camera của thiết bị để chụp ảnh, quay video và âm thanh, nhận vị trí GPS chính xác và xem hình ảnh từ thiết bị, cùng nhiều hành động khác, Gupta viết.
RatMilad có được RAT-ty: Trình đánh cắp dữ liệu mạnh mẽ
Các nhà nghiên cứu cho biết sau khi được triển khai, RatMilad truy cập giống như một Trojan truy cập từ xa (RAT) nâng cao, nhận và thực thi các lệnh để thu thập và lọc nhiều loại dữ liệu cũng như thực hiện một loạt các hành động độc hại.
Gupta viết: “Tương tự như các phần mềm gián điệp di động khác mà chúng tôi đã thấy, dữ liệu bị đánh cắp từ các thiết bị này có thể được sử dụng để truy cập vào hệ thống tư nhân của công ty, tống tiền nạn nhân và hơn thế nữa”. “Sau đó, những kẻ độc hại có thể tạo ra các ghi chú về nạn nhân, tải xuống bất kỳ tài liệu bị đánh cắp nào và thu thập thông tin tình báo cho các hành vi bất chính khác.”
Các nhà nghiên cứu cho biết, từ góc độ vận hành, RatMilad thực hiện nhiều yêu cầu khác nhau đối với máy chủ chỉ huy và kiểm soát dựa trên một số jobID và requestType nhất định, sau đó dừng lại và chờ đợi vô thời hạn các tác vụ khác nhau mà nó có thể thực hiện để thực thi trên thiết bị.
Trớ trêu thay, các nhà nghiên cứu ban đầu chú ý đến phần mềm gián điệp khi nó không thể lây nhiễm vào thiết bị doanh nghiệp của khách hàng. Họ đã xác định được một ứng dụng đang phân phối tải trọng và tiến hành điều tra, trong đó họ phát hiện ra một kênh Telegram đang được sử dụng để phân phối mẫu RatMilad rộng rãi hơn. Họ cho biết bài đăng đã được xem hơn 4,700 lần với hơn 200 lượt chia sẻ bên ngoài, trong đó nạn nhân chủ yếu sống ở Trung Đông.
Trường hợp cụ thể đó của chiến dịch RatMilad không còn hoạt động vào thời điểm bài đăng trên blog được viết, nhưng có thể có các kênh Telegram khác. Điều đáng mừng là cho đến nay, các nhà nghiên cứu vẫn chưa tìm thấy bất kỳ bằng chứng nào về RatMilad trên kho ứng dụng Google Play chính thức.
Thế tiến thoái lưỡng nan của phần mềm gián điệp
Đúng như tên gọi, phần mềm gián điệp được thiết kế để ẩn nấp trong bóng tối và chạy âm thầm trên các thiết bị để theo dõi nạn nhân mà không gây sự chú ý.
Tuy nhiên, bản thân phần mềm gián điệp đã vượt ra khỏi ranh giới của việc sử dụng bí mật trước đây và trở thành xu hướng chính, chủ yếu nhờ vào tin tức bom tấn đã nổ ra vào năm ngoái rằng phần mềm gián điệp Pegasus do Tập đoàn NSO có trụ sở tại Israel phát triển. đã bị lạm dụng bởi các chính phủ độc tài để theo dõi các nhà báo, các nhóm nhân quyền, chính trị gia và luật sư.
Các thiết bị Android nói riêng rất dễ bị tấn công bởi các chiến dịch phần mềm gián điệp. Các nhà nghiên cứu của Sophos đã phát hiện ra các biến thể mới của phần mềm gián điệp Android được liên kết với một nhóm APT Trung Đông vào tháng 2021 năm XNUMX. Phân tích từ Google TAG được phát hành vào tháng XNUMX cho thấy ít nhất tám chính phủ trên toàn cầu đang mua các khai thác zero-day của Android cho mục đích giám sát bí mật.
Thậm chí gần đây hơn, các nhà nghiên cứu đã phát hiện ra một dòng phần mềm gián điệp mô-đun Android cấp doanh nghiệp mệnh danh là ẩn sĩ tiến hành giám sát công dân Kazakhstan bởi chính phủ của họ.
Vấn đề nan giải xung quanh phần mềm gián điệp là nó có thể được chính phủ và các cơ quan có thẩm quyền sử dụng hợp pháp trong các hoạt động giám sát bị trừng phạt để theo dõi hoạt động tội phạm. Thật vậy, các ccác công ty hiện đang hoạt động trong không gian xám của việc bán phần mềm gián điệp — bao gồm RCS Labs, NSO Group, Người tạo FinFisher Gamma Group, công ty Candiru của Israel và Công nghệ tích cực của Nga - khẳng định rằng họ chỉ bán nó cho các cơ quan tình báo và thực thi hợp pháp.
Tuy nhiên, hầu hết bác bỏ tuyên bố này, bao gồm cả chính phủ Hoa Kỳ, nơi bị xử phạt gần đây một số tổ chức trong số này đã góp phần vào việc vi phạm nhân quyền và nhắm mục tiêu vào các nhà báo, những người bảo vệ nhân quyền, những người bất đồng chính kiến, các chính trị gia đối lập, các nhà lãnh đạo doanh nghiệp và những người khác.
Khi các chính phủ độc tài hoặc các tác nhân đe dọa có được phần mềm gián điệp, nó thực sự có thể trở thành một hoạt động kinh doanh cực kỳ khó chịu — đến mức đã có nhiều cuộc tranh luận về việc phải làm gì đối với sự tồn tại và bán phần mềm gián điệp tiếp tục. Một số người tin rằng các chính phủ nên quyết định ai có thể mua nó - điều này cũng có thể là vấn đề, tùy thuộc vào động cơ sử dụng nó của chính phủ.
Một số công ty đang tự giải quyết vấn đề này để giúp bảo vệ một số lượng hạn chế người dùng có thể là mục tiêu của phần mềm gián điệp. Apple – có thiết bị iPhone nằm trong số những thiết bị bị xâm phạm trong chiến dịch Pegasus – gần đây đã công bố một tính năng mới trên cả iOS và macOS có tên Chế độ Lockdown công ty cho biết sẽ tự động khóa bất kỳ chức năng hệ thống nào có thể bị tấn công bởi ngay cả phần mềm gián điệp đánh thuê tinh vi nhất do nhà nước tài trợ để xâm phạm thiết bị người dùng.
Bất chấp tất cả những nỗ lực ngăn chặn phần mềm gián điệp này, những khám phá gần đây về RatMilad và Hermit dường như chứng minh rằng cho đến nay chúng vẫn không ngăn cản được các tác nhân đe dọa phát triển và cung cấp phần mềm gián điệp trong bóng tối, nơi chúng tiếp tục ẩn nấp và thường không bị phát hiện.
