Il nuovo malware di Android in grado di rubare dati, registrare conversazioni, spiare le persone

RatMilad: lo spyware di Android che colpisce le aziende con tattiche di spionaggio

Il nuovo malware di Android si chiama RatMilad ed è in grado di spiare i dispositivi mobile e non ha solo l'obiettivo di colpire le aziende del Medio Oriente. Questo virus ha il compito di spiare le vittime e rubare dati dai loro dispositivi. [rL'infezione è stata diagnosticata dalla società di sicurezza Zimperium che ha lanciato l'allarme sulle possibili minacce dello spionaggio cibernetico, estorsione o furto di conversazioni delle vittime, dal momento che il malware è in grado di registrare audio mediante l'impiego di un dispositivo hackerato.

L'analisi spyware ha avuto successo quando il malware ha fallito il caricamento nel dispositivo. Di conseguenza, il team di ricercatori di Zimperium sono stati in grado di analizzare la minaccia:

L'app di spoofing del telefono viene distribuita tramite collegamenti sui social media e strumenti di comunicazione, che incoraggiano l'utente a trasferire strumenti falsi e abilitare autorizzazioni sul dispositivo.

Poiché la minaccia è principalmente rivolta alle aziende, è in grado di creare grossi problemi dal momento che i dati ottenuti dai dispositivi colpiti possono essere utilizzati per accedere a sistemi aziendali privati, ricattare le persone e lanciare campagne di altro genere. Gli autori della minaccia che gestiscono l'infezione potrebbero produrre dei messaggi indirizzari alle vittime, scaricare materiali rubati e raccogliere dati aggiuntivi per altro genere di campagne in futuro.

Il Malware si diffonde mediante l'impiego di app fasulle

Questo spyware è stato scoperto mediante l'impiego del metodo di distribuzione delle minacce, attraverso il quale un falso generatore di numeri virtuali adoperato per attivare gli account dei social media ha innescato il calo del payload dannoso. Una volta installata, l'applicazione NumRent attiva la richiesta di autorizzazioni pericolose, quindi il malware RatMilad viene installato sul dispositivo.

Il malware è in grado di nascondersi anche nelle app di connessione VPN. Il canale principale di distribuzione di queste app fasulle a base di spyware è Telegram. Inoltre, i trojan hanno l'obiettivo di trasmettere RatMilad in Google Play Store e store di terze parti; questi sono i metodi più comuni per distribuire malware in Android.

È stato inoltre sviluppato un particolare sito Web promozionale per spingere lo scaricamento del trojan di accesso remoto mobile e rendere ancora più convincente l'installazione di queste app. Questi siti Web promozionali sono stati promossi tramite IRL condivisi sui canali Telegram, altri social media e piattaforme per comunicazione. L'indagine ha scoperto che questi canali sono stati visualizzati quasi 5000 volte e molti dei collegamenti hanno ricevuto 200 condivisioni esterne.

I creatori di malware si affidano a falsi programmi dannosi, tra i più comuni e popolari; pertanto, le persone non prestano attenzione ai dettagli relativi alla fonte di provenienza dell'applicazione. Ciò comprende anche l'applicazione utilizzata dagli hacker per promuovere i propri servizi. L'applicazione fake di Telegram è stata inviata agli utenti Android con codice dannoso in grado di spiare le persone attraverso un'app di sorveglianza.

I dati colpiti dagli hacker: preziosi e facilmente accessibili

Quando entra nel sistema, la minaccia permette agli operatori di RatMilad di accedere e raccogliere dati come informazioni essenziali del dispositivo, elenchi di contatti, messaggi SMS e registri delle chiamate. Tuttavia, i nomi degli account e le autorizzazioni, gli elenchi di file, i contenuti dei file, le informazioni sulla SIM o le app e le autorizzazioni installate possono essere ancora più preziosi e utilizzati in seguito per altre campagne.

La minaccia può, inoltre, colpire i file sul dispositivo. Questo virus è in grado di eliminare i file, rubarli, modificare i permessi delle applicazioni installate e persino utilizzare il microfono del dispositivo per registrare l'audio e intercettare i rumori nella stanza in cui si trova il dispositivo colpito.

Queste funzioni permettono al malware di raccogliere diverse informazioni sull'azienda e dettagli personali dei dipendenti, come foto, documenti, video e comunicazioni private. Il virus è progettato per operare silenziosamente in background, pertanto la sua esistenza potrebbe non essere notata per un lungo periodo di tempo.

Si ritiene che il codice di questa infezione venga distribuito attraverso il gruppo AppMilad e che sia stato inserito in un'app falsa. Benché l'app sia stata ottimizzata, i ricercatori sostengono che il malware Android scelga i bersagli in modo casuale e che le aziende non vengano prese di mira di proposito.