สปายแวร์บน Android ตัวใหม่ที่ชื่อว่า 'RatMilad' ถูกพบว่ากำลังมุ่งเป้าไปที่อุปกรณ์มือถือของผู้ใช้งานในตะวันออกกลาง เพื่อขโมยข้อมูลบนเครื่องของเหยื่อ

โดย RatMilad ถูกพบโดยบริษัท Zimperium ซึ่งเตือนว่ามัลแวร์ดังกล่าวอาจถูกนำมาใช้สำหรับการจารกรรมทางไซเบอร์ การขู่กรรโชก หรือเพื่อดักฟังการสนทนาของเหยื่อ

"คล้ายกันกับสปายแวร์บนมือถืออื่น ๆ ที่เคยถูกพบ ข้อมูลที่ถูกขโมยมาจากอุปกรณ์ของเหยื่อ สามารถใช้เพื่อเข้าถึงระบบภายในขององค์กร แบล็กเมล์เหยื่อ และอื่น ๆ"

ลักษณะการทำงาน

สปายแวร์จะถูกแพร่กระจายผ่านทางแอปพลิเคชันปลอมที่อ้างว่าสามารถ generate หมายเลขที่สามารถนำไปใช้สำหรับเปิดใช้งานบัญชีโซเชียลมีเดีย โดยใช้ชื่อว่า "NumRent" เมื่อติดตั้งแอปดังกล่าวแล้ว มันจะทำการดาวน์โหลด payload ของ RatMilad มัลแวร์

โดยแอปพลิเคชันจะถูกเผยแพร่ผ่านทาง Telegram เนื่องจาก NumRent หรือโทรจันอื่น ๆ ที่มี RatMilad ไม่สามารถดาวน์โหลดได้จาก Google Play Store

โดย NumRent ยังมีเว็ปไซต์ที่ถูกสร้างขึ้นเพื่อสร้างความน่าเชื่อถือให้กับแอปพลิเคชัน โดยผู้โจมตีจะโปรโมทเว็ปไซต์ผ่านทาง Telegram, social media และ communication แพลตฟอร์มต่าง ๆ

หลังจากติดตั้งบนอุปกรณ์ของเหยื่อได้สำเร็จแล้ว RatMilad จะพยายามขโมยข้อมูลต่อไปนี้ :

ข้อมูลอุปกรณ์พื้นฐาน (รุ่น, ยี่ห้อ, buildID, เวอร์ชัน Android)
ที่อยู่ MAC address ของอุปกรณ์
รายชื่อผู้ติดต่อ
ข้อความ
บันทึกการโทร
ชื่อบัญชีผู้ใช้ และสิทธิ์การเข้าถึงต่าง ๆ
รายการแอปพลิเคชัน และการอนุญาตที่ติดตั้ง
ข้อมูลคลิปบอร์ด
ข้อมูลตำแหน่ง GPS
ข้อมูลซิม (หมายเลข, ประเทศ, IMEI, รัฐ)
รายการไฟล์
เนื้อหาไฟล

นอกจากนี้ RatMilad ยังสามารถดำเนินการกับไฟล์ เช่น การลบไฟล์ และขโมยไฟล์ ปรับเปลี่ยนการอนุญาตของแอปที่ติดตั้ง หรือแม้แต่ใช้ไมโครโฟนของอุปกรณ์เพื่อบันทึกเสียง และดักฟังเสียงในห้อง

แนวทางการป้องกัน

เพื่อป้องกันการติดสปายแวร์ในลักษณะนี้ ให้หลีกเลี่ยงการดาวน์โหลดแอปจากภายนอก Google Play Store ตรวจสอบสิทธิ์ที่แอปพลิเคชันร้องขออย่างละเอียดระหว่างการติดตั้ง

 

ที่มา : bleepingcomputer