Scoperto un nuovo spyware per Android che prende di mira i dispositivi mobili aziendali rubando i dati e spiando costantemente gli utenti, vittime ignare. Una volta installato e sotto controllo, gli aggressori possono accedere alla fotocamera per scattare foto, registrare video e audio, ottenere posizioni GPS precise, visualizzare immagini dal dispositivo e altro ancora.
A scoprire il nuovo malware è stato il team di ricerca di Zimperium zLabs, denominandolo RatMilad. La variante originale di RatMilad si nascondeva dietro una VPN e un’app di spoofing del numero di telefono chiamata Text Me, app spesso utilizzate per consentire a un utente di verificare un account di social media tramite un telefono (una tecnica comune utilizzata dagli utenti di social media nei paesi in cui l’accesso potrebbe essere limitato o che potrebbe richiedere un secondo account verificato). Il campione più recente, analizzato dai ricercatori, si nasconde e viene distribuito tramite un’app denominata NumRent, una versione rinominata e graficamente aggiornata di Text Me. Gli attori malintenzionati hanno anche sviluppato un sito Web di prodotti che pubblicizza l’app per indurre ulteriormente le vittime a credere che sia legittimo.
L’app di spoofing del telefono viene distribuita tramite collegamenti sui social media e strumenti di comunicazione, incoraggiandoli a caricare il set di strumenti falsi e abilitare autorizzazioni. Dopo l’installazione, l’applicazione richiede le autorizzazioni per l’accesso a varie impostazioni del dispositivo mentre installa anche il codice dannoso stesso. Una volta che l’utente ha abilitato l’app per accedere a più servizi, il nuovo spyware RatMilad viene installato, consentendo all’attore malintenzionato di raccogliere e controllare aspetti dell’endpoint mobile. All’utente viene chiesto di consentire l’accesso quasi completo al dispositivo, con richieste di visualizzazione di contatti, registri delle chiamate telefoniche, posizione del dispositivo, file multimediali e file, nonché di inviare e visualizzare messaggi SMS e telefonate.
RatMilad rappresenta una minaccia per i dispositivi Android funzionando come un avanzato Trojan di accesso remoto (RAT) con funzionalità spyware che riceve ed esegue comandi per raccogliere ed esfiltrare un’ampia varietà di dati ed eseguire un’ampia gamma di azioni dannose, come: indirizzo MAC del dispositivo, lista dei contatti, elenco SMS, registro delle chiamate, nomi account e autorizzazioni, dati negli appunti, dati di posizione GPS, informazioni Sim (numero di cellulare, Paese, IMEI, Stato Sim), elenco di file, registrazione del suono e altro ancora.
Simile ad altri spyware mobili che abbiamo visto, i dati rubati da questi dispositivi potrebbero essere utilizzati per accedere a sistemi aziendali privati, ricattare una vittima e altro ancora. Gli attori malintenzionati potrebbero quindi produrre note sulla vittima, scaricare qualsiasi materiale rubato e raccogliere informazioni per altre pratiche nefaste.
Il team di ricerca sulle minacce mobili di Zimperium zLabs ha rilevato l’infezione da spyware non riuscita del dispositivo aziendale di un cliente, identificando un’applicazione che fornisce il payload dello spyware. Durante l’indagine sulla minaccia e sui metodi di distribuzione, lo spyware RatMilad non è stato trovato in nessun app store Android. Le prove hanno mostrato che gli aggressori hanno utilizzato Telegram per distribuire e incoraggiare il sideloading dell’app falsa tramite il social engineering. Il team ha scoperto il canale Telegram utilizzato per distribuire il campione. Sebbene inconcludente, il post è stato visualizzato oltre 4.700 volte con oltre 200 condivisioni esterne.
Spyware come RatMilad è progettato per funzionare silenziosamente in background, spiando costantemente le sue vittime senza destare sospetti. Riteniamo che gli attori malintenzionati responsabili di RatMilad abbiano acquisito il codice dal gruppo AppMilad e lo abbiano integrato in un’app falsa da distribuire alle vittime ignare. L’evidenza non punta a una campagna coordinata contro singoli obiettivi, ma rappresenta invece un’operazione più ampia. Per qualsiasi dispositivo che è stato compromesso da spyware, gli attori malintenzionati dietro RatMilad hanno potenzialmente raccolto quantità significative di informazioni personali e aziendali sulle loro vittime, comprese comunicazioni private e foto, conclude il team di ricerca.
https://blog.zimperium.com/we-smell-a-ratmilad-mobile-spyware/
