Ένα νέο λογισμικό υποκλοπής Android με το όνομα «RatMilad» ανακαλύφθηκε που στοχεύει κινητές συσκευές στη Μέση Ανατολή, που χρησιμοποιείται για την κατασκοπεία θυμάτων και την κλοπή δεδομένων.
Το λογισμικό υποκλοπής RatMilad ανακαλύφθηκε από την εταιρεία ασφάλειας κινητής τηλεφωνίας Zimperium, η οποία προειδοποίησε ότι το κακόβουλο λογισμικό θα μπορούσε να χρησιμοποιηθεί για κατασκοπεία στον κυβερνοχώρο, εκβιασμό ή για να παρακολουθεί συνομιλίες του θύματος.
Διανέμεται μέσω ψεύτικων εφαρμογών Android
Το spyware διανέμεται μέσω ενός ψεύτικου virtual number generator που χρησιμοποιείται για την ενεργοποίηση λογαριασμών social media που ονομάζεται “NumRent”. Όταν εγκατασταθεί, η εφαρμογή ζητά πάρα πολλά δικαιώματα και στη συνέχεια τα καταχράται για να φορτώσει το κακόβουλο RatMilad payload.
- Το κύριο κανάλι διανομής για την ψεύτικη εφαρμογή είναι το Telegram, καθώς η εφαρμογή NumRent ή άλλα trojan που φέρουν το RatMilad, δεν είναι διαθέσιμα στο Google Play Store ή σε καταστήματα τρίτων.
Οι απειλητικοί παράγοντες RatMilad έχουν δημιουργήσει και έναν αποκλειστικό ιστότοπο για την προώθηση του mobile remote access trojan (RAT) για να κάνουν την εφαρμογή να φαίνεται πιο πειστική. Αυτός ο ιστότοπος προωθείται μέσω διευθύνσεων URL που κοινοποιούνται στο Telegram ή σε άλλα social media και πλατφόρμες επικοινωνίας.
Μετά την επιτυχή εγκατάσταση στη συσκευή ενός θύματος, το RatMilad κρύβεται πίσω από μια σύνδεση VPN και προσπαθεί να κλέψει τα ακόλουθα δεδομένα:
- Βασικές πληροφορίες συσκευής (μοντέλο, επωνυμία, buildID, έκδοση Android)
- Διεύθυνση MAC συσκευής
- Λίστα επαφών
- Γραπτά μηνύματα
- Μητρώα κλήσεων
- Ονόματα λογαριασμών και άδειες
- Λίστα εγκατεστημένων εφαρμογών και δικαιώματα
- Δεδομένα clipboard
- Δεδομένα GPS location
- Πληροφορίες SIM (αριθμός, χώρα, IMEI, κατάσταση)
- Λίστα αρχείων
- Περιεχόμενα αρχείου
Επιπλέον, το RatMilad μπορεί να εκτελέσει ενέργειες αρχείων, όπως διαγραφή αρχείων και κλοπή αρχείων, τροποποίηση των αδειών της εγκατεστημένης εφαρμογής ή ακόμα και χρήση του μικροφώνου της συσκευής για εγγραφή ήχου και υποκλοπή μιας συνομιλίας στο δωμάτιο.
Αυτές οι δυνατότητες είναι υπεραρκετές για τη συλλογή εταιρικών πληροφοριών, προσωπικών στοιχείων, ιδιωτικών επικοινωνιών, φωτογραφιών, βίντεο, εγγράφων κ.λπ.
Η Zimperium ανακάλυψε το RatMilad αφού το spyware απέτυχε να φορτώθει στη συσκευή ενός πελάτη και προχώρησε στην ανάλυση του malware.
Από τα στοιχεία, η Zimperium συμπεραίνει ότι οι χειριστές του RatMilad ακολουθούν μια προσέγγιση τυχαίου στόχου αντί να εκτελούν μια laser-focused καμπάνια.
Την εποχή της έρευνας, το κανάλι Telegram που χρησιμοποιήθηκε για τη διανομή του spyware προβλήθηκε πάνω από 4.700 φορές και μετρούσε πάνω από 200 εξωτερικά shares.
Για να προστατευτείτε από μολύνσεις από Android spyware όπως αυτή, αποφεύγετε πάντα τη λήψη εφαρμογών εκτός του Google Play Store και ελέγχετε προσεκτικά τα ζητούμενα δικαιώματα κατά την εγκατάσταση.