Zimperium, la seule plateforme de sécurité mobile dédiée aux environnements d’entreprise, vient de publier sa découverte sur une famille de spyware Android récemment identifiée et baptisée RatMilad. Les chercheurs zLabs de Zimperium ont détecté ce spyware après l’attaque infructueuse d’un appareil d’entreprise basé au Moyen-Orient protégé par la solution de protection contre les malwares, basée sur l’apprentissage automatique, de Zimperium.

Le spyware RatMilad, jusqu’alors inconnu, se cachait derrière un VPN et une application de mystification (spoofing) de numéro de téléphone appelée Text Me. Après avoir identifié RatMilad, l’équipe zLabs a également découvert un échantillon actif d’une famille de malware dissimulé derrière NumRent (une version renommée et revue graphiquement de Text Me).

Le logiciel espion RatMilad n’a pas été trouvé sur un quelconque appstore Android. Les preuves montrent que le groupe de hackers AppMilad, basé en Iran, a communiqué sur les réseaux sociaux et via différents outils de communication, notamment Telegram, pour inciter les utilisateurs à télécharger l’application compromise et à activer des autorisations importantes sur leur appareil. Les hackers ont également développé un site Web produit faisant la publicité de l’application afin de laisser croire aux victimes qu’elle est légitime.

Après que l’utilisateur a activé l’application pour accéder à plusieurs services, RatMilad est installé par sideloading, permettant à l’attaquant de collecter et de contrôler certains aspects du terminal mobile. L’utilisateur est invité à autoriser un accès presque complet à l’appareil, avec des demandes d’affichage des contacts, des journaux d’appels, de la localisation de l’appareil, des médias et des fichiers, ainsi que l’envoi et l’affichage de messages SMS et d’appels téléphoniques. Une fois installés et aux commandes, les hackers peuvent accéder à l’appareil pour prendre des photos, enregistrer des vidéos et des audios, obtenir des positions GPS précises, etc.

« Bien qu’il ne s’agisse pas d’attaques généralisées comme celles qui ont fait dernièrement la une des médias, le spyware RatMilad et le groupe de hackers AppMilad illustrent le changement du paysage actuel des attaques qui impacte la sécurité des appareils mobiles. », a déclaré Richard Melick, Directeur du Mobile Threat Intelligence de Zimperium. « De Pegasus à PhoneSpy, il existe un marché croissant de spyware mobiles disponibles auprès de sources légitimes et illégitimes, et RatMilad n’est qu’un exemple parmi d’autres. Le groupe à l’origine de cette attaque a potentiellement recueilli des données critiques et privées à partir d’appareils mobiles hors de la protection de Zimperium, constituant un risque pour les individus et les entreprises. »