Los especialistas en ciberseguridad de Zimperium zLabs han denominado a este troyano de acceso remoto (RAT, de acuerdo a sus siglas en inglés) RatMilad, que habría atacado a teléfonos de empresas de países de Oriente Próximo.
El falso reclamo de habilitar las redes sociales en los países con menos libertad digital
Los atacantes han implementado este 'malware' espía en una aplicación fraudulenta denominada NumRent, que adopta el aspecto y el diseño de otra existente, TextMe, y que se distribuye a través de enlaces para su descarga por medio de Telegram.
NumRent afirma ser una aplicación que posibilita a los usuarios iniciar sesión en redes sociales cuyo acceso está normalmente bloqueado o que son ilegales en ciertos países. Para estimular a los usuarios a incorporar esta 'app' en sus móviles, los ciberdelincuentes habrían generado anuncios con acceso directo a la descarga del servicio.
RatMilad distribuye ilegalmente datos del teléfono o tablet infectados
Una vez instalada la aplicación, desde una tienda sin licencia, se distribuye RatMilad para compilar la información sensible del dispositivo infectado, como los contactos, los archivos descargados o las imágenes y los vídeos de la galería.
Además, este 'spyware' tiene un control total del terminal y puede acceder a datos como el GPS, para conocer la ubicación precisa del dispositivo, así como enviar mensajes SMS o desarrollar llamadas telefónicas. También puede grabar sonido y cambiar los permisos de las aplicaciones ya instaladas.
Una página web completa la sofisticación de este señuelo
Desde la compañía han adelantado que los ciberdelincuentes han desarrollado una página web de NumRent para simular su veracidad y hacer creer a las víctimas que se trata de una aplicación legítima.
Con ello, han detallado que no han localizado indicadores de que este 'malware' esté presente en otras aplicaciones que se ofrecen en la tienda oficial de Google para 'smartphones', Play Store.