Zimperium, Sicherheitsexperte für Echtzeitschutz auf Mobilgeräten, hat eine neue Spyware-Familie auf Android-Mobilgeräten entdeckt. Die Spionage-Malware mit dem Namen RatMilad versteckt sich hinter der VPN- und Telefonnummern-Spoofing-App „Text Me“, mit der Benutzer ein Social-Media-Konto über ihr Mobiltelefon verifizieren können.
Die App bedroht Android-Geräte und fungiert als Fernzugriffstrojaner (RAT, Remote Access Trojaner) mit Spyware-Funktionen, der Befehle zum Sammeln und Exfiltrieren von Daten empfängt, ausführt und eine Reihe bösartiger Aktionen initiiert — von Video- und Audio-Aufzeichnungen bis hin zur Erfassung von GPS-Standortdaten.
Was steckt hinter der RatMilad-Spionagesoftware?
Hinter der Spionage-Malware steht die im Iran ansässige Hackergruppe „AppMilad“. Die „RatMilad“ genannte Spionagesoftware fiel den Sicherheitsforschern bei einem fehlgeschlagenen Infektionsversuch eines Unternehmensgerätes auf. Nachdem Zimperiums Machine-Learning-Malware-Engine den Angriffsversuch verhindern konnte, erstellten die Mobilexperten eine umfassende Sicherheitsanalyse. Die ursprüngliche Variante der bisher unbekannten RatMilad-Spionagesoftware versteckt sich demnach hinter einer VPN- und Telefonnummer-Spoofing-App namens „Text Me“. Das zLabs-Forscherteam entdeckte zudem ein Malware-Sample (NumRent), das sich als eine umbenannte und grafisch aktualisierte Version von Text Me tarnt und weiterverbreitet.
In einem Android-App-Store wurde die RatMilad-Spyware bisher nicht gefunden. Zur Verbreitung der Schadsoftware streuen die Angreifer verschiedene Web-Links über soziale Medien und Kommunikationsdienste wie Telegram. Außerdem haben die böswilligen Akteure eine eigene Produkt-Website erstellt, um weitere Opfer anzulocken. Laden unvorsichtige Benutzer das gefälschte Toolset herunter, werden bei der Installation weitreichende Berechtigungen auf dem Mobilgerät freigegeben.
Mit den App-Zugriffsrechten auf mehrere Dienste lässt sich die neuartige RatMilad-Spionage-Malware durch Sideloading installieren. Die Hintermänner der Anwendung können dann sensible Daten auf dem mobilen Endpunkt sammeln und kontrollieren. Mit gewährten Zugriffsrechten lassen sich auf betroffenen Mobilgeräten sensible Kontaktdaten abrufen, Telefonanrufe protokollieren, der Gerätestandort teilen sowie Medien und Dateien oder SMS-Nachrichten und Telefonanrufe weitergeben. Nach der Installation haben die Angreifer vollständige Kontrolle über die Kamera, um Bilder, Videos und Audio-Mitschnitte erstellen zu können.
Der wachsenden Markt für mobile Spyware
„Zwar handelt es sich bisher nicht um weit verbreitete Angriffe, aber die RatMilad-Spyware und die im Iran ansässige Hackergruppe AppMilad zeigen, dass sich die Sicherheitslage dynamisch entwickelt und auf die Sicherheit mobiler Geräte auswirkt“, betonte Richard Melick, Director Mobile Threat Intelligence bei Zimperium. „Von Pegasus bis PhoneSpy gibt es einen wachsenden Markt für mobile Spyware wie RatMilad, die über legitime und illegitime Quellen verfügbar ist. Die Hackergruppe hinter diesem Spyware-Angriff hat möglicherweise bereits sensible Daten von mobilen Geräten gesammelt, die Einzelpersonen und Unternehmen gefährden.“
Weitere Informationen zur mobilen RatMilad-Spyware sowie Bildmaterial und Videos, die verschiedene Installationstechniken demonstrieren, sind hier verfügbar.
www.zimperium.com