Experts Warn of New RatMilad Android Spyware Targeting Enterprise Devices
2022/10/05 TheHackerNews — RatMilad と呼ばれる新種の Android マルウェアが、VPN/電話帳を装うアプリとして、中東のエンタープライズ・モバイル・デバイスを標的としていることが確認された。Zimperium が TheHackerNews と共有したレポートによると、このモバイル型トロイの木馬は、感染したモバイル・エンドポイントから各種データを収集/流出させるコマンドを、受信/実行する機能を持つ高度なスパイウェアとして機能するとのことだ。
Zimperium が収集した証拠によると、この悪意のアプリは、Telegram などのコミュニケーション・ツールやソーシャル・メディアのリンクを通じて配布され、ユーザーを騙してアプリをサイドロードさせ、広範囲な権限を付与していることが判明している。
また、偽の VPN や電話帳サービスにマルウェアを埋め込むというアイデアは、アクセス制限のある国で人気の、電話によるソーシャル・メディアア・カウントの検証を、このアプリが可能にするという点で巧妙である。
Zimperium のリサーチャーである Nipun Gupta は、「このマルウェアがインストールされて制御が奪われると、攻撃者はカメラにアクセスして写真を撮り、ビデオや音声を録音し、正確な GPS 位置を取得し、デバイス上の写真を参照するなど、さまざまな悪意のアクティビティを実現していく」と述べている。
RatMilad には、その他の機能も実装されている。このマルウェアは、SIM 情報/クリップボードデータ/SMS メッセージ/通話ログ/コンタクト・リストなどを収集し、さらにはファイルの読み取りと書き込みも実行するという。
Zimperium の仮設は、RatMilad の実行犯が AppMilad というイランのハッカー・グループからソースコードを入手し、それを不正なアプリに組み込んでユーザーに配布しているというものだ。
感染の規模は不明だが、顧客の企業向けデバイスへの侵害の試みが失敗した際に、このスパイウェアを検出したと、同社は述べている。
マルウェアの伝播に使用された Telegram チャンネルで共有された投稿は、4,700回以上閲覧され、200回ほど外部で共有されているが、範囲が限定的であるとされる。
Zimperium の Director of Mobile Threat Intelligence である Richard Melick は、「RatMilad スパイウェアとイラン・ベースのハッカー・グループ AppMilad は、モバイル・デバイスのセキュリティに影響を与える環境が変化していることを示している。Pegasus から PhoneSpy にいたるまで、合法/非合法のソースを通じて入手できるモバイル・スパイウェア市場は拡大しており、RatMilad は、その中の1つに過ぎない」と述べている。
スパイウェアと APT (Advanced Persistent Threat) の違いが、ちょっと分からない感じがしますが、文中の AppMilad がイラン・ベースのハッカー・グループということなので、両者の間には様々な連携があるように思えます。このブログ内を、Spywareで検索してみたら、2022年1月20日の「奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている」や、7月6日の「iOS/macOS に追加された Lockdown Mode:国家支援スパイウェアに対抗する最強の防御」、7月21日の「Google Chrome の ゼロデイ脆弱性 CVE-2022-2294:Candiru スパイウェアが悪用」などが見つかりました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.