По информации аналитиков компании Zimperium, иранские хакеры используют в своих атаках новое шпионское ПО RatMilad, ориентированное на пользователей Android. Вредонос применяется как для слежки за жертвами, так и с целью кражи их данных.
«Подобно другой мобильной спайвари, виденной нами ранее, данные, украденные с зараженных RatMilad устройств, могут использоваться для доступа к частным корпоративным системам, шантажа жертв и многого другого», — предупреждают эксперты в своем отчете.
Вредонос распространяется под видом VPN-приложений, а также генераторов поддельных виртуальных номеров NumRent и Text Me, которые якобы можно использовать для активации учетных записей в социальных сетях. Во время установки приложение запрашивает множество разрешений, а затем злоупотребляет ими для загрузки вредоносной полезной нагрузки RatMilad.
В основном злоумышленники распространяют свои поддельные приложения через Telegram, так как они недоступны в Google Play Store и сторонних магазинах. К примеру, исследователи обнаружили Telegram-канал, в котором сообщение со ссылкой на вредоносное приложение набрало более 4700 просмотров и его пересылали свыше 200 раз.
Кроме того, операторы этой кампании создали специальный сайт, рекламирующий NumRent, чтобы приложение выглядело более убедительно. Этот сайт продвигается с помощью рекламы в Telegram, а также в социальных сетях и на других коммуникационных платформах.
Проникнув на устройство жертвы, RatMilad начинает собирать информацию. Широкий спектр разрешений, которые запрашивает малварь, позволяет получить доступ к данным об устройстве (включая MAC-адрес, данные о SIM-карте и точном местоположение) и пользовательской информации (например, к контактам, журналам вызовов, SMS-сообщениям, данным буфера обмена, мультимедиа и файлам).
Также злоумышленники могут выполнять действия с файлами, изменять разрешения установленных приложений и получить доступ к камере и микрофону зараженного устройства, чтобы записывать видео и аудио, а также делать фото.
Исследователи считают, что стоящие за этой кампанией злоумышленники получили исходный код малвари от хакерской группировки AppMilad, после чего интегрировали его в свои фейковые приложения. Судя по всему, RatMilad – это не таргетированная кампания, и жертвами хакеров в данном случае становятся не конкретные цели, а абсолютно случайные пользователи.
