RatMilad è il nuovo spyware che prende di mira le imprese in Medio Oriente

L’azienda di sicurezza mobile Zimperium ha scoperto un nuovo spyware Android, chiamato RatMilad, che si è intrufolato nei dispositivi mobili degli utenti per le imprese mediorientali, che vedono anche proliferare lo spyware commerciale per la sorveglianza di giornalisti e politici

È stata scoperta un’altra spia di Android che consente agli aggressori di ascoltare le conversazioni telefoniche delle vittime e di scaricare le loro foto.

RatMilad prende di mira le aziende

Il nuovo spyware chiamato RatMilad è stato segnalato dagli specialisti della sicurezza informatica di Zimperium.

Il software è distribuito sotto le spoglie di applicazioni (come NumRent o Text Me) per la generazione di numeri di telefono virtuali, che vengono solitamente utilizzati durante la registrazione di un gran numero di account nei social network e altri servizi online.

Secondo un rapporto di Zimperium, dietro la diffusione c’è il gruppo di hacker iraniano AppMilad, che utilizza i social media e i servizi di messaggistica per indurre le presunte vittime a scaricare malware sui propri dispositivi.

Quando si esegue un’app falsa, viene richiesto un gran numero di autorizzazioni che, secondo gli esperti, dovrebbero fungere da primo campanello d’allarme per gli utenti. Il malware richiede l’accesso all’elenco dei contatti, al contenuto dei messaggi SMS, al microfono, ai dati degli appunti, al GPS e altro ancora.

Dopo che il tutto viene accettato, l’applicazione inizia a rubare informazioni sui movimenti della vittima, registrare conversazioni, scansionare file multimediali e inviare i risultati agli aggressori, tramite server C2 (comando e controllo).

Inoltre, Zimperium ha scoperto un canale Telegram utilizzato dagli aggressori per diffondere il malware.

Secondo gli esperti, il messaggio rilevato con un collegamento a un’applicazione dannosa, ha ricevuto più di 4.700 visualizzazioni ed è stato pubblicato più di 200 volte. Gli indicatori sono piuttosto condizionali e non è ancora possibile valutare il reale grado di infezione di RatMilad. Gli attori delle minacce hanno sviluppato anche un sito Web dedicato per pubblicizzare e promuovere il RAT mobile per rendere l’app più convincente e legittima.

L’impatto è sicuramente elevato, viste anche le restrizioni sempre maggiori, presenti nei paesi del Medio Oriente per la registrazione ai social network. Motivo per il quale gli utenti cercano sempre nuove soluzioni pur di non utilizzare il proprio numero di telefono autentico.

Aziende del medio oriente con legami a noi vicini, sfruttano Signal per gli spyware di Stato

La situazione non è ancora perfettamente chiara, ma sembra che l’utilizzo di Whatsapp per la sorveglianza tramite spyware, da parte delle aziende di sicurezza (che lavorano con i governi di tutto il mondo), stia venendo meno, in favore di Signal.

Una società di cyber intelligence macedone Cytrox che è stata rilevata nel 2018 da WiSpear, è ora di proprietà di Intellexa. Originariamente aveva sede a Cipro, ma un recente rapporto indica che Intellexa ora opera dalla Grecia, che è anche elencata come sede su LinkedIn del suo fondatore, l’imprenditore israeliano Tal Dilian. Intellexa offre una soluzione end-to-end per la sorveglianza e la soluzione di hacking alle forze dell’ordine e alle agenzie di intelligence.

Questo cambiamento può essere dettato dal fatto che negli ultimi anni, Signal ha avuto successo dopo che la sua rivale WhatsApp ha aggiornato le sue condizioni di utilizzo nel 2021 per consentire la condivisione di più dati con la sua società madre, Meta (ex Facebook). È stato visto che Signal diventa un’app popolare tra giornalisti e politici grazie alla sua facilità di accesso e alla solida sicurezza.

Il tutto sarebbe partito dalle rivelazioni fatte da Intelligence Online, che trapela un documento con una schermata che mostra il pannello di controllo di uno strumento informatico di Intellexa in cui Signal può essere visto in una colonna contrassegnata come “registrazione del microfono“.

Anche l’azienda indiana ClearTrail Technologies è in corsa con Intellexa che sta cercando di violare il sistema di sicurezza di Signal. Uno specialista dell’intercettazione di ClearTrail mostra le sue capacità di estrarre informazioni dall’applicazione di comunicazione sicura americana.

Dal punto di vista tecnico si evince poco ma sembra che entrambe le aziende non tentino di violare la crittografia di Signal ma si limitino ad accedere ai suoi metadati come mezzo per ottenere informazioni che possono essere sfruttate.