Nouveau logiciel malveillant Android capable d'usurper des données, d'enregistrer des conversations et d'espionner les utilisateurs

Le logiciel espion RatMilad pour Android vise les entreprises et possède des capacités d'espionnage

Un nouveau logiciel malveillant sous Androïd du nom de RatMilad est capable d'espionner les appareils mobiles et ne vise pas principalement les entreprises du Moyen-Orient. Il sert à espionner les victimes et à voler différentes données sur les machines. L'infection a été découverte par la société de sécurité mobile Zimperium, qui met en garde contre la possibilité d'utiliser cette menace à des fins de cyber espionnage, d'extorsion ou d'écoute des conversations des victimes, car le logiciel malveillant est en mesure d'enregistrer l'audio à l'aide de l'appareil piraté.

L'analyse du logiciel espion a pu être effectuée avec succès lorsque le logiciel malveillant n'a pas réussi à se charger sur l'appareil, ainsi l'équipe de recherche de Zimperium a pu analyser l'infection :

The phone spoofing app is distributed through links on social media and communication tools, encouraging them to sideload the fake toolset and enable significant permissions on the device.

Comme la menace vise principalement les entreprises, elle peut créer de gros problèmes, puisque les données obtenues à partir des appareils ciblés peuvent être exploitées pour accéder à des systèmes privés d'entreprise, faire davantage de chantage et lancer d'autres campagnes. Les responsables de l'infection peuvent envoyer des notes aux victimes, télécharger des documents volés et recueillir des données supplémentaires pour d'autres campagnes malveillantes à l'avenir.

Les logiciels malveillants se propagent à travers de fausses applications

Ce logiciel espion est apparu grâce à la distribution de menaces où un faux générateur de numéros virtuels utilisé pour activer des comptes de réseaux sociaux a déclenché le dépôt de la charge utile malveillante. Dès que le logiciel est installé, l'application NumRent lance la demande d'autorisations risquées, et le logiciel malveillant RatMilad peut alors être installé sur la machine.

Le logiciel malveillant peut aussi se masquer derrière les applications de connexion VPN. Le principal vecteur de distribution de ces fausses applications pleines de logiciels espions est Telegram. Les chevaux de Troie véhiculent aussi le RatMilad à travers le Google Play Store et les plateformes tierces, qui sont réputés pour être des voies courantes de distribution des logiciels malveillants Android.

Un site Web promotionnel particulier a également été développé pour pousser le cheval de Troie d'accès à distance mobile et rendre l'installation de ces applications plus convaincante. Ces sites Web promotionnels ont également été promus au moyen de liens Internet partagés sur les canaux Telegram, d'autres réseaux sociaux et des plateformes de communication. Selon l'enquête, ces canaux ont été consultés près de 5000 fois et de nombreux liens ont reçu 200 partages externes.

Les concepteurs de logiciels malveillants se servent de faux programmes malveillants qui sont courants et populaires, de sorte que les gens ne se soucient pas des détails concernant la source de l'application. Ceci comprend également l'application dont se servent les pirates pour promouvoir leurs services. Une fausse application Telegram a été mise à disposition des utilisateurs d'Android contenant un code malveillant qui permet d'espionner les personnes via une application de surveillance installée en plus.

Des données ciblées : précieuses et accessibles facilement

Une infection réussie offre aux exploitants de RatMilad la possibilité d'accéder à des données telles que des informations de base sur l'appareil, des listes de contacts ou des messages SMS, ainsi que des journaux d'appels, et de les recueillir. Toutefois, les noms et autorisations de comptes, les listes de fichiers, les contenus de fichiers, les informations SIM ou les applications installées et les autorisations peuvent avoir plus de valeur et servir ultérieurement dans d'autres cas de cybersécurité.

La menace peut aussi lancer des actions sur les fichiers de l'appareil. Ce virus est capable de supprimer des fichiers, de les voler, de modifier les autorisations des applications installées voire d'utiliser le microphone de l'appareil afin de faire des enregistrements audio et d'écouter l'environnement dans lequel se trouve l'appareil concerné.

Grâce à ces fonctions, le logiciel malveillant peut recueillir diverses données sur les entreprises et des détails personnels sur les personnes, des photos, des documents, des vidéos et des communications privées. Ce programme est conçu pour fonctionner discrètement en arrière-plan, de sorte que sa présence peut passer inaperçue pendant un certain temps, le temps que le RatMilad espionne la victime.

Il semble que le code de cette infection provienne du groupe AppMilad, et que la méthode de distribution de la fausse application ait été intégrée. Malgré les progrès et les perfectionnements de l'application, les chercheurs pensent que le logiciel malveillant Android ne cible pas délibérément les entreprises, mais plutôt de manière aléatoire.