We use cookies to ensure that we give you the best experience on our website.

新しい Android マルウェア「RatMilad」は音声を録音し、データを盗み、あなたをスパイする可能性があります

エンタープライズ専用のモバイル セキュリティ プラットフォームである Zimperium は水曜日、中東のエンタープライズ モバイル デバイスをターゲットにした新しい Android スパイウェア ファミリについて説明するブログ投稿を公開しました。

「RatMilad」と呼ばれるこのスパイウェアは、VPN (仮想プライベート ネットワーク) および電話番号なりすましアプリとして姿を隠し、データにアクセスして盗み、プライベートな音声会話を録音し、被害者を監視し、被害者のデバイス上のアプリケーション権限を変更することができます。

このアプリの機能は、ユーザーが電話を通じてソーシャル メディア アカウントを認証できるようにすることを目的としている。これは、アクセスが制限されている可能性がある国のソーシャル メディア ユーザーや、2 つ目の認証済みアカウントが必要な国のソーシャル メディア ユーザーが使用する一般的な手法である。

研究者らは、RatMilad マルウェア ファミリが背後に隠れ、「」を通じて配布されていることを発見しました。家賃」、と呼ばれる電話番号なりすましアプリの名前が変更され、グラフィックが更新されたバージョンテキストメッセージを送ってください

この電話スプーフィング アプリは、ソーシャル メディア上のリンクや Telegram などのコミュニケーション ツールを通じて配布され、被害者を騙して偽のツールセットをサイドローディングし、デバイス上で重要な権限を許可すると同時に、悪意のあるコード自体をインストールします。

上記のデモ インストール ビデオでわかるように、インストール後、ユーザーはデバイスへのほぼ完全なアクセスを許可するよう求められ、連絡先、通話記録、デバイスの位置、メディア、ファイルの表示、送信と表示のリクエストが行われます。 SMS メッセージと電話。

「RatMilad スパイウェアはどの Android アプリ ストアにも見つかりませんでした。攻撃者が Telegram を使用して、ソーシャル エンジニアリングを通じて偽アプリの配布とサイドローディングを奨励したことを示す証拠があります」と Zimperium 研究者の Nipun Gupta 氏は述べています。書きましたブログ投稿で。

「インストールされ、制御されると、攻撃者はカメラにアクセスして写真を撮ったり、ビデオや音声を記録したり、正確な GPS 位置を取得したり、デバイスから写真を表示したりすることができます。」

新しい RatMilad スパイウェアは、実装されると、スパイウェア機能を備えた高度なリモート アクセス トロイの木馬 (RAT) としてアクセスし、感染したモバイル エンドポイントから広範囲のデータを収集および抽出するコマンドを受信して​​実行し、次のようないくつかの悪意のあるアクションを実行します。

  • デバイスのMACアドレス
  • 連絡先リスト
  • SMSリスト
  • 通話記録
  • アカウント名と権限
  • クリップボードデータ
  • GPS位置データ
  • Sim 情報 – MobileNumber 、 Country 、 IMEI 、 Simstate
  • ファイルリスト
  • ファイルの読み取り、書き込み、削除
  • 録音
  • C&C へのファイルのアップロード
  • インストールされているアプリケーションとその権限のリスト
  • 新しいアプリケーション権限を設定する
  • 電話情報 – モデル、ブランド、ビルドID、Androidのバージョン、メーカー

他のモバイル スパイウェアと同様に、これらのデバイスから盗まれたデータは、企業の民間システムへのアクセスや被害者への脅迫などに使用される可能性があります。その後、悪意のある攻撃者は被害者に関するメモを作成し、盗まれた資料をダウンロードし、その他の悪名高い活動のための情報を収集する可能性があります。

運用上の観点から見ると、RatMilad は特定の jobID と requestType に基づいてコマンド アンド コントロール (C&C) サーバーに対してさまざまなリクエストを実行し、その後アプリはデバイス上でタスクが実行されるまで無期限に待機して待機する、と研究者らは述べています。

皮肉なことに、研究者は最初、顧客の企業デバイスへの読み込みに失敗した際に RatMilad を検出し、マルウェアの調査を進めました。 RatMilad などのスパイウェアは、バックグラウンドで静かに実行されるように設計されており、疑惑を抱かせることなく継続的に被害者を監視します。

Zimperium は、RatMilad を担当するオペレーターが AppMilad グループからコードを取得し、それを偽のアプリに組み込んで、疑わしい被害者に配布したのではないかと理論づけました。

Zimperium は、脅威と配布方法の調査中に、スパイウェアの配布に使用された Telegram チャネルが 4,700 回以上閲覧され、200 以上の外部共有があったことを発見しました。

Zimperium がブログ投稿を公開した時点では、RatMilad キャンペーンのこの特定のインスタンスはアクティブではありませんでしたが、他の Telegram チャネルが存在する可能性があります。ありがたいことに、研究者らはこれまでのところ、公式 Google Play アプリ ストアで RatMilad の証拠を発見していません。

Also Read