Transparent Tribe olarak bilinen Pakistan bağlantılı olduğundan şüphelenilen bir gelişmiş kalıcı tehdit (APT) grubu, Hint ve Pakistanlı Android kullanıcılarını hedef alan bir arka kapıyla devam eden bir siber casusluk kampanyasıyla ilişkilendirildi. CapraRAT.
“Transparent Tribe, MeetsApp ve MeetUp markalı truva atı haline getirilmiş güvenli mesajlaşma ve arama uygulamaları aracılığıyla Android CapraRAT arka kapısını dağıttı”, ESET söz konusu The Hacker News ile paylaşılan bir raporda.
Muhtemelen askeri veya siyasi eğilimleri olan 150 kadar kurbanın kötü amaçlı yazılımla hedef alındığı tahmin ediliyor (com.meetup.app) bu uygulamaların resmi dağıtım merkezleri gibi görünen sahte web sitelerinden indirilebilir.
Hedeflerin, tehdit aktörünün kurbanlara başka bir platform aracılığıyla yaklaştığı ve onları “güvenli” mesajlaşma ve arama bahanesiyle kötü amaçlı yazılım içeren uygulamaları yüklemeye ikna ettiği bir bal tuzağı aşk dolandırıcılığı yoluyla çekildiğinden şüpheleniliyor.
Ancak uygulamalar, vaat edilen işlevselliği sunmanın yanı sıra, açık kaynak AndroRAT’ın değiştirilmiş bir sürümü olan ve ilk olarak Şubat 2022’de Trend Micro tarafından belgelenen ve Windows olarak bilinen bir kötü amaçlı yazılımla örtüşen CapraRAT ile birlikte gelir. KızılRAT.
Arka kapı, ekran görüntüleri ve fotoğraflar çekmesine, telefon görüşmelerini ve çevredeki sesleri kaydetmesine ve diğer hassas bilgileri dışarı sızdırmasına olanak tanıyan kapsamlı bir dizi özellikle doludur. Ayrıca arama yapabilir, SMS mesajları gönderebilir ve dosyaları indirmek için komutlar alabilir.
Bununla birlikte, kullanıcıların ayrıca, uygulamanın işlevlerine erişmek için telefon numaralarını birbirine bağlayarak ve bir SMS doğrulama adımını tamamlayarak bir hesap oluşturmaları gerekmektedir.
En Son Kötü Amaçlı Yazılım Kaçırma Taktiklerini ve Önleme Stratejilerini Keşfedin
Dosya tabanlı saldırılarla ilgili en tehlikeli 9 efsaneyi yıkmaya hazır mısınız? Yaklaşan web seminerimize katılın ve hasta sıfır enfeksiyonlarına ve sıfır gün güvenlik olaylarına karşı mücadelede bir kahraman olun!
Slovak siber güvenlik şirketi, kampanyanın çok dar bir şekilde hedeflendiğini ve uygulamaların Google Play Store’da mevcut olduğuna dair hiçbir kanıt bulamadığını belirtti.
APT36, C-Major Operasyonu ve Mythic Leopard olarak da anılan Transparent Tribe, yakın zamanda, Kavach adlı iki faktörlü bir kimlik doğrulama çözümünün kötü amaçlı sürümleriyle Hindistan hükümet kuruluşlarını hedef alan başka bir dizi saldırıyla ilişkilendirildi.
Bulgular, siber güvenlik firması ThreatMon’un, ReverseRAT olarak bilinen bir arka kapının güncellenmiş bir sürümünü konuşlandırmak amacıyla Hindistan devlet kurumlarını hedef alan SideCopy aktörleri tarafından gerçekleştirilen bir mızraklı kimlik avı kampanyasını detaylandırmasından haftalar sonra da geldi.