Seguridad

El nuevo malware de Android ‘RatMilad’ puede grabar audio, robar datos y espiarte

El miércoles, Zimperium, la plataforma de seguridad móvil especialmente diseñada para empresas, publicó una publicación de blog que describe una nueva familia de spyware de Android dirigida a dispositivos móviles empresariales en el Medio Oriente.

Llamado ‘RatMilad’, el espía que se hace pasar por una VPN (red privada virtual) y una aplicación de suplantación de números de teléfono puede acceder y robar datos, grabar conversaciones de audio privadas, espiar a las víctimas y modificar los permisos de las aplicaciones de los dispositivos de las víctimas.

Se cree que la función de la aplicación es permitir que un usuario verifique una cuenta de redes sociales a través del teléfono, una técnica común utilizada por los usuarios de redes sociales en países donde el acceso puede estar restringido o puede requerir una segunda cuenta verificada.

​​​​Los investigadores descubrieron que la familia de malware RatMilad estaba oculta y distribuida a través de «Renta neta”una versión renombrada y gráficamente actualizada de una aplicación de suplantación de número de teléfono llamada Escríbeme.

La aplicación de suplantación de identidad del teléfono se distribuye a través de enlaces en las redes sociales y herramientas de comunicación como Telegram, engañando a las víctimas para que mitiguen el conjunto de herramientas falsas y otorgando permisos importantes en el dispositivo mientras se instala el código malicioso.

Como vemos en el video de instalación de demostración anterior, una vez instalado, se le pide al usuario que permita un acceso casi completo al dispositivo, con solicitudes para ver contactos, registros de llamadas telefónicas, ubicación del dispositivo, medios y archivos, así como direcciones y ver mensajes SMS y llamadas telefónicas.

“El software espía RatMilad no se encontró en ninguna tienda de aplicaciones de Android. La evidencia muestra que los atacantes usaron Telegram para distribuir y promocionar la aplicación falsa a través de la ingeniería social”, escribió el investigador de Zimperium, Nipun Gupta, en la publicación del blog.

«Una vez instalada y controlada, los atacantes podían acceder a la cámara para tomar fotografías, grabar video y audio, obtener ubicaciones GPS precisas, ver imágenes desde el dispositivo y más».

Una vez instalado, el nuevo software espía RatMilad obtiene acceso como un troyano de acceso remoto (RAT) con capacidades de software espía que recibe y ejecuta comandos para recopilar y filtrar una amplia gama de datos del terminal móvil infectado y realizar varios actos maliciosos, como:

  • La dirección MAC del dispositivo
  • Lista de contactos
  • lista de SMS
  • Registros de llamadas
  • Nombres de cuenta y permisos
  • Detalles de recorte
  • Datos de ubicación GPS
  • Información de Sim: número de móvil, país, IMEI, Simstate
  • lista de archivos
  • Leer, escribir, eliminar archivos
  • Grabación de audio
  • Subir un archivo a C&C
  • Lista de aplicaciones instaladas, junto con sus permisos
  • Establecer nuevos permisos de aplicación
  • Información del teléfono: modelo, marca, buildID, versión de Android, fabricante

Al igual que otros programas espía móviles, los datos robados de estos dispositivos podrían usarse para acceder a sistemas corporativos privados, chantajear a una víctima y más. Luego, los actores maliciosos podrían anotar a la víctima, descargar cualquier contenido robado y recopilar información para otras actividades nefastas.

Operacionalmente, RatMilad realiza varias solicitudes al servidor de comando y control (C&C) en función de un determinado ID de trabajo y tipo de solicitud, y luego la aplicación espera y espera indefinidamente a que se ejecuten las tareas en el dispositivo, dijeron los investigadores.

Irónicamente, los investigadores detectaron RatMilad por primera vez durante un intento fallido de carga en el dispositivo empresarial de un cliente y procedieron a investigar el malware. El spyware como RatMilad está diseñado para ejecutarse silenciosamente en segundo plano, espiando continuamente a sus desprevenidas víctimas.

Zimperium teorizó que los operadores responsables de RatMilad obtuvieron el código del grupo AppMilad y lo incluyeron en una aplicación falsa para distribuirla a víctimas desprevenidas.

Durante la investigación de la amenaza y los métodos de distribución, Zimperium descubrió que el canal de Telegram utilizado para distribuir el spyware fue visto más de 4700 veces con más de 200 recursos compartidos externos.

En el momento en que Zimperium publicó su publicación de blog, esta instancia particular de la campaña RatMilad ya no estaba activa, pero puede haber otros canales de Telegram. Sorprendentemente, los investigadores no han encontrado ninguna evidencia de RatMilad en la tienda de aplicaciones oficial de Google Play hasta el momento.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!