Újfajta károkozó terjed az androidos készülékeken. A RatMilad elnevezésű kémprogram megfigyelésre, adatlopásból következő zsarolásra vagy az áldozatok beszélgetéseinek lehallgatására használható elsődlegesen. A Zimperium kiberbiztonsági cég által felfedezett kémszoftvert egy Numrent elnevezésű, hamis virtuális számgenerátoron keresztül terjesztik, amelyet általában közösségi médiafiókok aktiválásához szoktak igénybe venni – írja a Bleeping Computer.
A szoftver telepítéskor az alkalmazás különböző engedélyeket kér, majd miután a gyanútlan felhasználó megadta neki azokat, telepíti a rosszindulatú RatMilad szoftvert. Az alkalmazás fő terjesztési csatornája az orosz-ukrán háború alatt rendkívül népszerűvé vált Telegram alkalmazás.
A kémszoftver alkotói egy külön weboldalt is létrehoztak a mobil távoli hozzáférésű trójai (RAT) népszerűsítésére, hogy az alkalmazás meggyőzőbbnek tűnjön. Ezt a weboldalt a Telegramban vagy más közösségi média- és kommunikációs platformokon megosztott URL-címeken keresztül népszerűsítik.
Miután sikeresen települt az áldozat eszközére, a RatMilad VPN-kapcsolat mögé rejtőzik, és az alább felsorolt adatokat gyűjti össze:
- Alapvető eszközinformációk (modell, márka, buildID, Android verzió).
- A készülék MAC-címe
- Kapcsolati lista
- SMS
- Hívásnaplók
- Fióknevek és jogosultságok
- Telepített alkalmazások listája és jogosultságai
- Vágólap adatai
- Helymeghatározási adatok
- SIM-adatok (szám, ország, IMEI, állam)
- Fájlok listája
- Fájlok tartalma
A program továbbá olyan műveleteket is végezhet, mint a fájlok törlése vagy eltulajdonítása, netán a telepített alkalmazás jogosultságainak módosítása. Azonban még ennél is fejlettebb technológiának nevezhető, hogy a készülék mikrofonját használva rögzítheti beszélgetéseinket, sőt, azokat hangfájl formájában ki is tudja menteni. Mivel a programot csendes, háttérben történő működésre tervezték, nagyon nehéz felfedezni az eszközökön, elsőként is véletlenül akadtak rá.
A vizsgálat idején a kémprogram terjesztésére használt Telegram-csatornát több mint 4700 alkalommal tekintették meg, és több mint 200 külső megosztást számlált. A kémprogramot eddig jellemzően a Közel-Keleten vetették be. Az ehhez hasonló Android kémprogramfertőzésektől való védekezés érdekében mindig kerülje a Google Play Store-on kívüli alkalmazások letöltését, futtasson AV-ellenőrzést az újonnan letöltött appokon, és a telepítés során gondosan nézze át a kért engedélyeket.
