RatMilad, un nouveau spyware Android iranien qui cible les entreprises
Découvert au Moyen-Orient, RatMilad est un cheval de Troie sur mobile qui peut lire, écrire et supprimer des fichiers, d'enregistrer des sons et de définir de nouvelles autorisations d'application. De Pegasus à PhoneSpy, il existe à ce jour de nombreux spywares sur mobiles, et RatMilad n'est qu'un exemple parmi d'autres. Le groupe à l'origine de cette attaque a potentiellement recueilli des données critiques et privées à partir d'appareils mobiles constituant un risque pour les entreprises.
Les chercheurs zLabs de Zimperium ont détecté ce spyware après l'attaque infructueuse d'un appareil d'entreprise basé au Moyen-Orient protégé par la solution de protection contre les malwares, basée sur l'apprentissage automatique, de Zimperium.
Le spyware RatMilad, jusqu'alors inconnu, se cachait derrière un VPN et une application de mystification (spoofing) de numéro de téléphone appelée Text Me. Après avoir identifié RatMilad, l'équipe zLabs a également découvert un échantillon actif d'une famille de malware dissimulé derrière NumRent (une version renommée et revue graphiquement de Text Me).
Le logiciel espion RatMilad n'a pas été trouvé sur un quelconque appstore Android. Les preuves montrent que le groupe de hackers AppMilad, basé en Iran, a communiqué sur les réseaux sociaux et via différents outils de communication, notamment Telegram, pour inciter les utilisateurs à télécharger l'application compromise et à activer des autorisations importantes sur leur appareil. Les hackers ont également développé un site Web produit faisant la publicité de l'application afin de laisser croire aux victimes qu'elle est légitime.
Après que l'utilisateur a activé l'application pour accéder à plusieurs services, RatMilad est installé par sideloading, permettant à l'attaquant de collecter et de contrôler certains aspects du terminal mobile. L'utilisateur est invité à autoriser un accès presque complet à l'appareil, avec des demandes d'affichage des contacts, des journaux d'appels, de la localisation de l'appareil, des médias et des fichiers, ainsi que l'envoi et l'affichage de messages SMS et d'appels téléphoniques. Une fois installés et aux commandes, les hackers peuvent accéder à l'appareil pour prendre des photos, enregistrer des vidéos et des audios ou encore obtenir des positions GPS précises.