Недавно исследовательская группа Zimperium zLabs обнаружила шпионские программы, нацеленные на мобильные устройства предприятий Ближнего Востока, и начала отслеживать активность нового семейства шпионских программ для Android, которое мы назвали RatMilad.
RatMilad Spyware
Первоначальный вариант RatMilad скрывался за VPN и приложением для подмены телефонного номера под названием Text Me и предполагал возможность верификации аккаунта в социальных сетях через телефон, что часто используется пользователями социальных сетей в странах, где доступ к ним может быть ограничен, или в странах, где требуется второй, верифицированный аккаунт. Вооружившись информацией о шпионском ПО, команда zLabs недавно обнаружила живой образец вредоносного ПО семейства RatMilad, скрывающегося и распространяющегося через NumRent, переименованную и графически обновленную версию Text Me.
Приложение для подделки телефона распространяется через ссылки в социальных сетях и средствах связи, побуждая их загрузить поддельный набор инструментов и включить значительные разрешения на устройстве. Но в действительности, после того как пользователь разрешает приложению доступ к многочисленным сервисам, новое шпионское ПО RatMilad устанавливается путем боковой загрузки, позволяя злоумышленнику, стоящему за этим экземпляром, собирать и контролировать аспекты мобильной конечной точки. Как показано в демонстрационном видео ниже, пользователю предлагается разрешить практически полный доступ к устройству, с запросами на просмотр контактов, журналов телефонных звонков, местоположения устройства, медиа и файлов, а также на отправку и просмотр SMS-сообщений и телефонных звонков.
Образец этой ранее неизвестной шпионской программы был обнаружен системой машинного обучения вредоносного ПО Zimperium на устройстве. Шпионская программа RatMilad не была обнаружена ни в одном магазине приложений для Android. По имеющимся данным, злоумышленники использовали Telegram для распространения и поощрения загрузки поддельного приложения с помощью социальной инженерии. После установки и получения контроля злоумышленники могли получить доступ к камере, чтобы делать снимки, записывать видео и аудио, узнавать точное местоположение GPS, просматривать фотографии с устройства и многое другое.
Специалисты лаборатории Zimperium zLabs обнаружили образец шпионской программы RatMilad после неудачного заражения устройства, защищенного ZIMPERIUM zIPS. После обнаружения нового кода команда zLabs незамедлительно начала расследование.
Каковы возможности шпионского ПО RatMilad?
Мобильное приложение представляет угрозу для устройств Android, функционируя как продвинутый троянец удаленного доступа (RAT) с возможностями шпионского ПО, который получает и выполняет команды для сбора и утечки разнообразных данных и выполнения широкого спектра вредоносных действий, таких как:
- MAC-адрес устройства
- список контактов
- список SMS
- журналы вызовов
- Имена и разрешения учетных записей
- Данные буфера обмена
- Данные о местоположении GPS
- Информация о Sim - номер мобильного телефона, страна, IMEI, Simstate
- Список файлов
- Чтение, запись, удаление файлов
- Запись звука
- Загрузка файлов на C&C
- Список установленных приложений с указанием их разрешений.
- Установка новых разрешений для приложений.
- Информация о телефоне - модель, марка, buildID, версия android, производитель.
Подобно другим мобильным программам-шпионам, которые мы видели, данные, украденные с этих устройств, могут быть использованы для доступа к частным корпоративным системам, шантажа жертвы и многого другого. Затем злоумышленники могут составлять заметки о жертве, загружать любые украденные материалы и собирать информацию для других неблаговидных действий.
Indicators of Compromise
Domains
- api.numrent.shop
URLs
- http://textme.network
SHA256
- 0d0dcc0e2eebf07b902a58665155bd9b035d6b91584bd3cc435f11beca264b1e
- 12f723a19b490d079bea75b72add2a39bb1da07d0f4a24bc30313fc53d6c6e42
- 30e5a03da52feff4500c8676776258b98e24b6253bc13fd402f9289ccef27aa8
- 31dace8ecb943daa77d71f9a6719cb8008dd4f3026706fb44fab67815546e032
- 3da3d632d5d5dde62b8ca3f6665ab05aadbb4d752a3e6ef8e9fc29e280c5eb07
- 73d04d7906706f90fb81676d4f023fbac75b0047897b289f2eb34f7640ed1e7f
- bae6312b00de73eb7a314fc33410a4d59515d56640842c0114bd1a2d2519e387
- c195a9d3e42246242a80250b21beb7aa68c270f7b2c97a9c93b17fbb90fd8194
Application Names
- com.example.confirmcode
- com.example.confirmcodf
- com.example.confirmcodg