0
0
Os invasores estão usando um novo spyware contra dispositivos Android corporativos, apelidado de RatMilad e disfarçado como um aplicativo útil para contornar as restrições à Internet de alguns países.
Por enquanto, a campanha está operando no Oriente Médio em um amplo esforço para coletar informações pessoais e corporativas das vítimas, de acordo com pesquisadores do Zimperium zLabs.
A versão original do RatMilad se escondeu atrás de um aplicativo de falsificação de VPN e número de telefone chamado Text Me, revelaram pesquisadores em um post publicado na quarta-feira .
A função do aplicativo é supostamente permitir que um usuário verifique uma conta de mídia social por meio de seu telefone – “uma técnica comum usada por usuários de mídia social em países onde o acesso pode ser restrito ou que desejam uma segunda conta verificada”, Zimperium zLabs pesquisador Nipun Gupta escreveu no post.
Mais recentemente, no entanto, os pesquisadores descobriram uma amostra ao vivo do spyware RatMilad sendo distribuído através do NumRent, uma versão renomeada e atualizada graficamente do Text Me, por meio de um canal do Telegram, disse ele. Seus desenvolvedores também criaram um site de produtos para anunciar e distribuir o aplicativo, para tentar enganar as vítimas a acreditar que é legítimo.
“Acreditamos que os agentes maliciosos responsáveis pelo RatMilad adquiriram o código do grupo AppMilad e o integraram em um aplicativo falso para distribuir a vítimas inocentes”, escreveu Gupta.
Os invasores estão usando o canal Telegram para “incentivar o carregamento lateral do aplicativo falso por meio de engenharia social” e a ativação de “permissões significativas” no dispositivo, acrescentou Gupta.
Uma vez instalado, e depois que o usuário permite que o aplicativo acesse vários serviços, o RatMilad é carregado, dando aos invasores controle quase completo sobre o dispositivo, disseram os pesquisadores. Eles então podem acessar a câmera do dispositivo para tirar fotos, gravar vídeo e áudio, obter localizações precisas de GPS e visualizar fotos do dispositivo, entre outras ações, escreveu Gupta.
RatMilad Obtém RAT-ty: Poderoso ladrão de dados
Uma vez implantado, o RatMilad acessa como um Trojan de acesso remoto avançado (RAT) que recebe e executa comandos para coletar e exfiltrar uma variedade de dados e executar uma série de ações maliciosas, disseram os pesquisadores.
“Semelhante a outros spywares móveis que vimos, os dados roubados desses dispositivos podem ser usados para acessar sistemas corporativos privados, chantagear uma vítima e muito mais”, escreveu Gupta. “Os agentes maliciosos podem então produzir notas sobre a vítima, baixar qualquer material roubado e coletar informações para outras práticas nefastas”.
Do ponto de vista operacional, o RatMilad executa várias solicitações a um servidor de comando e controle com base em determinado jobID e requestType e, em seguida, permanece e aguarda indefinidamente as várias tarefas que ele pode executar para executar no dispositivo, disseram os pesquisadores.
Ironicamente, os pesquisadores notaram inicialmente o spyware quando ele não conseguiu infectar o dispositivo corporativo de um cliente. Eles identificaram um aplicativo que entregava a carga útil e continuaram a investigar, durante o qual descobriram um canal do Telegram sendo usado para distribuir a amostra RatMilad de forma mais ampla. O post foi visto mais de 4.700 vezes com mais de 200 compartilhamentos externos, disseram eles, com as vítimas localizadas principalmente no Oriente Médio.
Essa instância específica da campanha RatMilad não estava mais ativa no momento em que a postagem do blog foi escrita, mas pode haver outros canais do Telegram. A boa notícia é que, até agora, os pesquisadores não encontraram nenhuma evidência do RatMilad na loja oficial de aplicativos do Google Play.
O Dilema do Spyware
Fiel ao seu nome, o spyware é projetado para se esconder nas sombras e rodar silenciosamente em dispositivos para monitorar as vítimas sem chamar a atenção.
No entanto, o próprio spyware saiu das margens de seu uso anteriormente secreto e se tornou popular, principalmente graças às notícias de grande sucesso que surgiram no ano passado de que o spyware Pegasus desenvolvido pelo NSO Group, com sede em Israel, estava sendo abusado por governos autoritários para espionar . jornalistas, grupos de direitos humanos, políticos e advogados.
Dispositivos Android em particular têm sido vulneráveis a campanhas de spyware. Os pesquisadores da Sophos descobriram novas variantes de spyware do Androidvinculadas a um grupo APT do Oriente Médio em novembro de 2021. A análise do Google TAG divulgada em maio indica que pelo menos oito governos de todo o mundo estão comprando explorações de dia zero do Android para fins de vigilância secreta.
Ainda mais recentemente, os pesquisadores descobriram uma família de spyware modular do Android de nível empresarial apelidada de Hermit conduzindo vigilância em cidadãos do Cazaquistão por seu governo.
O dilema em torno do spyware é que ele pode ter um uso legítimo por governos e autoridades em operações de vigilância sancionadas para monitorar atividades criminosas. De fato, as empresas que atualmente operam no espaço cinza da venda de spyware – incluindo RCS Labs, NSO Group, o criador do FinFisher Gamma Group , a empresa israelense Candiru e a Positive Technologies da Rússia – afirmam que só o vendem para agências legítimas de inteligência e fiscalização.
No entanto, a maioria rejeita essa alegação, incluindo o governo dos EUA, que recentemente sancionou várias dessas organizações por contribuir para abusos de direitos humanos e atacar jornalistas, defensores de direitos humanos, dissidentes, políticos da oposição, líderes empresariais e outros.
Quando governos autoritários ou agentes de ameaças obtêm spyware, isso pode se tornar um negócio extremamente desagradável – tanto que tem havido muito debate sobre o que fazer com a existência e venda contínuas de spyware. Alguns acreditam que os governos devem decidir quem pode comprá-lo – o que também pode ser problemático, dependendo dos motivos do governo para usá-lo.
Algumas empresas estão tomando o assunto em suas próprias mãos para ajudar a proteger a quantidade limitada de usuários que podem ser alvos de spyware. A Apple – cujos dispositivos iPhone estavam entre os comprometidos na campanha Pegasus – anunciou recentemente um novo recurso no iOS e no macOS chamado Lockdown Mode, que bloqueia automaticamente qualquer funcionalidade do sistema que possa ser invadida até pelo mais sofisticado spyware mercenário patrocinado pelo estado para comprometer um dispositivo do usuário, disse a empresa.
Apesar de todos esses esforços para reprimir o spyware, as recentes descobertas do RatMilad e do Hermit parecem demonstrar que até agora não impediram os agentes de ameaças de desenvolver e distribuir spyware nas sombras, onde ele continua à espreita, muitas vezes sem ser detectado.
FONTE: DARK READING