Neue Android-Malware kann Daten stehlen, Gespräche aufzeichnen und Menschen ausspionieren

Spyware RatMilad Android visiert mit seinen Spionagefunktionen Unternehmen an

Eine neue Android-Malware namens RatMilad kann mobile Geräte ausspionieren und zielt zurzeit hauptsächlich auf Unternehmen im Nahen Osten ab. Die Infektion wurde von der auf mobile Sicherheit spezialisierten Firma Zimperium entdeckt. Sie warnt davor, dass die Bedrohung für Cyberspionage, Erpressung und zum Abhören von Gesprächen verwendet werden kann, da sie über das infizierte Gerät Audioaufnahmen machen kann.

Die Spyware-Analyse war erfolgreich, als die Ausführung der Malware fehlgeschlagen ist und das Forschungsteam von Zimperium die Infektion analysieren konnte:

Die Spoofing-App wird über Links in sozialen Medien und Tools zur Kommunikation verbreitet, welche dazu auffordern, das gefälschte Toolset per Sideload zu laden und wichtige Berechtigungen auf dem Gerät zu aktivieren.

Da die Bedrohung hauptsächlich auf Unternehmen abzielt, kann sie großen Schaden anrichten, denn die von den infizierten Geräten gewonnenen Daten können dazu verwendet werden, auf private Unternehmenssysteme zuzugreifen, Personen zu erpressen und diverse Kampagnen zu veranlassen. Die für die Infektion verantwortlichen Angreifer können dem Opfer Mitteilungen hinterlassen, gestohlene Daten herunterladen und zukünftig weitere Daten erfassen.

Die Verbreitung der Malware über gefälschte Anwendungen

Es wurde festgestellt, dass die Spyware dieselbe Verbreitungsmethode von Bedrohungen nutzt, bei denen ein gefälschter virtueller Nummerngenerator für die Aktivierung von Social-Media-Konten verwendet wird und schließlich das Herunterladen der schädlichen Nutzlast verursacht. Nach der Installation fordert die Anwendung NumRent noch riskante Berechtigungen an, die die Installation der RatMilad-Malware auf dem Rechner möglich machen.

Die Malware kann sich auch hinter VPNs verstecken. Hauptsächlich werden die mit Spyware gefüllten gefälschten Apps über Telegram verbreitet. Aber selbst im Google Play Store und Stores von Drittanbietern enthaltene Trojaner können RadMilad enthalten. Trojaner sind noch stets eine bekannte und gängige Methode zur Verbreitung von Android-Malware.

Es wurde auch eine spezielle Werbeseite entwickelt, um den mobilen Fernzugriffstrojaner im Umlauf zu bringen und von der Installation solcher Apps zu überzeugen. Die Werbeseiten wurden ebenfalls über IRLs beworben, die auf Telegram-Kanälen, anderen sozialen Medien und Kommunikationsplattformen geteilt wurden. Die Untersuchung ergab, dass die Kanäle fast 5000-mal aufgerufen wurden und viele der Links 200-mal extern geteilt wurden.

Die Ersteller von Malware setzen insbesondere auf gefälschte Apps von weit verbreiteten und beliebten Anwendungen, so dass nicht auf die Quelle geachtet wird. Dies gilt auch für Anwendungen, die Hacker zum Bewerben ihrer Dienste verwenden. Beispielsweise wurde eine gefälschte Telegram-App mit bösartigem Code für Android-Nutzer veröffentlicht, die über eine zusätzlich installierte Überwachungsanwendung das Ausspionieren des Nutzers veranlasste.

Gezielte Daten: wertvoll und leicht zugänglich

Die erfolgreiche Infektion ermöglicht es den Betreibern von RatMilad auf einfache Daten auf dem Gerät, Kontaktlisten, SMS-Nachrichten und Anrufprotokolle zuzugreifen und diese zu erfassen. Kontonamen, Berechtigungen, Dateilisten, Dateiinhalte, SIM-Informationen, installierte Apps und Berechtigungen können noch wertvoller sein und bei zukünftigen Vorfällen Anwendung finden.

Darüber hinaus kann sich die Bedrohung auch auf Dateien auf dem Gerät auswirken. Der Virus kann Dateien löschen, sie stehlen, die Berechtigungen der installierten Anwendungen ändern und sogar das Mikrofon des Geräts nutzen, um Audio aufzuzeichnen und den Raum, in dem sich das betroffene Gerät befindet, abzuhören.

Diese Funktionen ermöglichen es der Malware, verschiedene Daten über das Unternehmen und persönliche Einzelheiten zur Person, Fotos, Dokumente, Videos und private Kommunikation zu sammeln. Sie ist so konzipiert, dass sie unbemerkt im Hintergrund läuft, so dass ihre Existenz möglicherweise eine Zeit lang nicht bemerkt wird.

Es wird vermutet, dass der Code von der Gruppe AppMilad stammt und die Methode zur Verbreitung der gefälschten App integriert wurde. Obwohl die App fortschrittlicher ist und verbessert wurde, gehen Sicherheitsforscher davon aus, dass die Android-Malware ihre Ziele zufällig auswählt und ein Unternehmen nicht gezielt angreift.