I dispositivi Android di fascia Enterprise sono nel mirino dello spyware RatMilad, una cyber minaccia che attualmente si è concretizzata in Medio Oriente e si maschera da VPN e app di spoofing di numeri telefonici. Ma viste le sue caratteristiche tecniche, potrebbe presto diffondersi in tutto il mondo.
“Gli spyware sono da tempo parte del panorama delle minacce”, commenta Pierguido Iezzi, Ceo di Swascan: “Anche se, a onor del vero, il loro utilizzo era stato fino a poco tempo fa legato principalmente a casi di alto profilo. Spionaggio industriale, monitoraggio illegale di individui o organizzazioni: a scopo politico, finanziario e statale/nazionale”.
Indice degli argomenti
Lo spyware RatMilad all’assalto di Android
Il mobile trojan RatMilad funziona come spyware evoluto dotato di capacità di ricevere ed eseguire comandi per raccogliere ed esfiltrare un’ampia varietà di dati da endpoint mobili infettati, secondo il report che Zimperium ha condiviso con The Hacker News.
“RatMilad come molti altri spyware”, spiega Pierguido Iezzi, “operano con una combinazione di tre fattori. La presenza di una vulnerabilità non riscontrata – uno zero day o sistema non aggiornato -; una call-to-action di social engineering convincente e una funzione di offuscamento ben congegnata”.
Nel caso di RatMilad, l’offuscamento avviene tramite l’abilità dello spyware a mascherarsi da VPN e app di spoofing di numeri telefonici. La call-to-action prevede l’invito al download di un’app malevola, distribuita attraverso link su social media e strumenti di comunicazione come Telegram. Infatti utenti insospettabili sono indotti ad effettuare il side-loading dell’app, assicurandole permessi estesi.
Il malware nascosto in una fasulla VPN e in un servizio di phone number spoofing richiede agli utenti di verificare gli account di social media via smartphone, sfruttando una tecnica popolare in Paesi dove l’accesso è limitato, come in Medio Oriente.
“Una volta installata l’app e preso il controllo, gli attaccanti potrebbero accedere alla fotocamera per scattare foto, registrare video e audio, ottenere la localizzazione GPS precisa, vedere le foto archiviate nel dispositivo, e molto altro ancora”, mette in guardia il ricercatore di Zimperium, Nipun Gupta.
Infatti RatMilad, che si diffobde attraverso le app note come Text Me e NumRent, permette al malware di accumulare informazioni SIM, dati clipboard, messaggi SMS, log di chiamate, liste di contatti e perfino svolgere attività come leggere e scrivere file.
La democratizzazione degli spyware
Oggi gli spyware non effettuano più attacchi di alto profilo. “Nel corso del tempo la democratizzazione di questi strumenti ha permesso la loro diffusione a strati anche più bassi”, rispetto ai casi di spionaggio industriali o scopo politico, finanziario e ‘nation-state’, continua Iezzi.
“Lo spyware rimane un malware che richiede un pizzico di conoscenze in più rispetto ad altre categorie di minacce”, sottolinea l’esperto di cyber security, “ma è in vendita all’interno dei market del Dark Web, come lo stesso SOC e Threat Intelligence Team di Swascan ha rilevato nel report Darkweb Analysis 2022. Questa analisi illustra e mostra le tendenze, prezzi dei prodotti e metodi di pagamento utilizzati, uno spaccato di quello che stiamo quotidianamente vivendo ma anche una analisi che permette di fornire conclusioni circa il comportamento degli utenti nei mercati nel Darkweb e il potenziale di questi mercati in futuro. Il mondo dell’hacking è diventato a scaffale, ready to use o forse meglio one-click“.
Come proteggersi
Poiché è facile “vedere la correlazione tra l’aumento nell’utilizzo di questo tipo di malware è l’aumento degli zero day e l’entropia di nuovi sistemi e software”, come mette in evidenza Iezzi, ricordiamo sempre che i dispositivi, sia personali che aziendali, devono mantenere i sistemi operativi aggiornati e, in caso di vulnerabilità zero day, scaricare subito le patch rilasciate dalla software house legittima. Inoltre, occorre scaricare le app solo dai marketplace ufficiali.
Infine “per arginare il fenomeno del social engineering, è urgente agire sulla consapevolezza, per ridurre il rischio legato al fattore umano. Questo è possibile lavorando sull’awareness tramite specifica formazione”, conclude Iezzi.
