Zimperium, firma zajmująca się cyberbezpieczeństwem, która koncentruje się na urządzeniach mobilnych, opublikowała badanie opisujące nową rodzinę programów szpiegujących na Androida.
„RatMilad” to spyware, które zdaje się brać na cel urządzenia mobilne w przedsiębiorstwach znajdujących się na Bliskim Wschodzie. Jednak w przeciwieństwie do wielu innych rodzin programów szpiegujących, takich jak Pegasus i Hermit, RatMilad nie wydaje się częścią akcji skierowanej do konkretnych osób, ale raczej szeroko zakrojonym atakiem. Nie wiemy jeszcze, jak groźna jest ta kampania, ale duża różnorodność danych gromadzonych przez oprogramowanie szpiegujące może zostać wykorzystana do szantażu lub uzyskania nieautoryzowanego dostępu do systemów przedsiębiorstwa.
„RatMilad” to spyware, które zdaje się brać na cel urządzenia mobilne w przedsiębiorstwach znajdujących się na Bliskim Wschodzie.
Według specjalisty z Zimperium, spyware RatMilad jest rozpowszechniane wśród ofiar za pośrednictwem złośliwych aplikacji reklamowanych w celu dostarczania tymczasowych numerów telefonów w celu weryfikacji kont w mediach społecznościowych. Naukowcy odkryli, że oryginalna odmiana RatMilad była rozpowszechniana za pośrednictwem aplikacji znanej jako „Text Me”. Jednak cyberprzestępca stojący za tą kampanią ostatnio zaktualizował złośliwą aplikację i zmienił jej nazwę na „NumRent”.
Zły aktor promuje przede wszystkim aplikację NumRent w aplikacji do przesyłania wiadomości Telegram, ale prowadzi również dość profesjonalnie wyglądającą stronę reklamującą złośliwą aplikację. Chociaż strona zawiera przycisk pobierania z logo sklepu Google Play, aplikacja NumRent nie jest dostępna na platformie Google. Zamiast tego przycisk pobierania kieruje użytkowników do podstrony NumRent, gdzie mogą pobrać aplikację jako plik APK.
Ci, którzy ręcznie zainstalują ten pakiet APK, otrzymają półfunkcjonalną aplikację, która przynajmniej w części wydaje się świadczyć reklamowaną usługę. Jednak, gdy użytkownicy po raz pierwszy uruchamiają aplikację NumRent, żąda ona dostępu do obszernej listy uprawnień Androida. Jeśli użytkownik przyzna te uprawnienia, aplikacja przejdzie do sideloadu oprogramowania szpiegującego RatMilad w tle.
.jpg?time=1665040352476)
Po zainstalowaniu RatMilad wysyła początkowe żądanie zawierające adres mac zainfekowanego urządzenia do serwera C2 (C2) w celu nawiązania połączenia. Po ustanowieniu tego połączenia oprogramowanie szpiegujące wysyła następnie dodatkowe informacje o urządzeniu, w tym listę kontaktów, wiadomości SMS, dzienniki połączeń, katalog plików, nazwę konta użytkownika, dane ze schowka i lokalizację. RatMilad wtedy czeka na instrukcje z serwera C2. Korzystając z serwera C2, cyberprzestępca może nakazać oprogramowaniu szpiegującemu wydobycie dodatkowych informacji, odczytanie lub zapisanie plików, przyznanie dodatkowych uprawnień lub nagranie dźwięku z mikrofonów zainfekowanego urządzenia.
Dzięki temu rozbudowanemu zestawowi narzędzi każde urządzenie zainfekowane przez RatMilad staje się potężnym aparatem szpiegowskim. Każdy, kto zainstalował aplikacje Text Me lub NumRent, prawdopodobnie będzie musiał wykonać pełny reset do ustawień fabrycznych, aby pozbyć się oprogramowania szpiegującego.
Zobacz także:
- Meta (Facebook) przestaje rekrutować pracowników. Widmo zwolnień może zwiastować problemy platformy
- Pierwszy 9-osobowy samolot elektryczny Eviation Alice pomyślnie przetestowany
- Zabezpieczenia PlayStation 5 złamane, ale jest pewien haczyk
Pokaż / Dodaj komentarze do: Nie tylko Pegasus i Hermit. RatMilad to nowe groźne oprogramowanie spyware