Một phần mềm độc hại mới trên Android có tên RatMilad đã được phát hiện nhắm mục tiêu vào thiết bị di động doanh nghiệp Trung Đông bằng cách che giấu bản thân là một ứng dụng giả mạo số điện thoại và VPN.
Zimperium cho biết trojan di động hoạt động như một phần mềm gián điệp tiên tiến với các khả năng nhận và thực hiện các lệnh để thu thập và lấy ra nhiều loại dữ liệu từ điểm cuối di động bị nhiễm, Zimperium cho biết trong một báo cáo được chia sẻ với The Hacker News.
Bằng chứng do công ty bảo mật di động thu thập được cho thấy ứng dụng độc hại được phân phối thông qua các liên kết trên phương tiện truyền thông xã hội và các công cụ truyền thông như Telegram, lừa người dùng không nghi ngờ chuyển sang ứng dụng và cấp cho nó quyền rộng rãi.
Ý tưởng đằng sau việc nhúng phần mềm độc hại vào VPN giả mạo và dịch vụ giả mạo số điện thoại cũng rất thông minh ở chỗ ứng dụng tuyên bố cho phép người dùng xác minh tài khoản mạng xã hội qua điện thoại, một kỹ thuật phổ biến ở các quốc gia nơi quyền truy cập bị hạn chế.
Nhà nghiên cứu Zimperium Nipun Gupta cho biết: “Sau khi được cài đặt và kiểm soát, những kẻ tấn công có thể truy cập vào camera để chụp ảnh, ghi video và âm thanh, lấy vị trí GPS chính xác, xem ảnh từ thiết bị và hơn thế nữa,” nhà nghiên cứu Zimperium Nipun Gupta cho biết.
Các tính năng khác của RatMilad giúp phần mềm độc hại có thể tích hợp thông tin SIM, dữ liệu khay nhớ tạm, tin nhắn SMS, nhật ký cuộc gọi, danh sách liên hệ và thậm chí thực hiện các thao tác đọc và ghi tệp.
Zimperium đưa ra giả thuyết rằng các nhà khai thác chịu trách nhiệm về RatMilad đã mua lại mã nguồn từ một nhóm hacker Iran có tên AppMilad và tích hợp nó vào một ứng dụng gian lận để phân phối nó cho những người dùng không chủ ý.
Hiện chưa rõ quy mô của các vụ lây nhiễm, nhưng công ty an ninh mạng cho biết họ đã phát hiện ra phần mềm gián điệp này trong một nỗ lực xâm nhập bất thành thiết bị doanh nghiệp của khách hàng.
Một bài đăng được chia sẻ trên kênh Telegram được sử dụng để tuyên truyền mẫu phần mềm độc hại đã được xem hơn 4.700 lần với hơn 200 lượt chia sẻ bên ngoài, cho thấy phạm vi giới hạn.
“Phần mềm gián điệp RatMilad và nhóm hacker có trụ sở tại Iran AppMilad đại diện cho một môi trường đang thay đổi ảnh hưởng đến bảo mật thiết bị di động”, Richard Melick, giám đốc tình báo về mối đe dọa di động tại Zimperium, cho biết.
“Từ pegasus đến PhoneSpy, thị trường phần mềm gián điệp di động đang phát triển có sẵn thông qua các nguồn hợp pháp và bất hợp pháp, và RatMilad chỉ là một trong số đó.”
