Transparent Tribe olarak bilinen tehdit aktörü, ilgili kişileri hedef alan bir sosyal mühendislik kampanyasının parçası olarak kötü amaçlı yazılım içeren Android uygulamalarını serbest bırakmaya devam etti.
SentinelOne güvenlik araştırmacısı Alex Delamotte, “Bu APK’lar, mobil oyuncuları, silah tutkunlarını ve TikTok hayranlarını hedefleyen yeni bir genişlemeyle, grubun küratörlü video tarama uygulamalarına casus yazılım yerleştirme eğilimini sürdürüyor” dedi. söz konusu The Hacker News ile paylaşılan yeni bir raporda.
CapraTube adlı kampanyanın ana hatları ilk olarak Eylül 2023’te siber güvenlik şirketi tarafından ortaya atıldı; bilgisayar korsanlığı ekibi, AndroRAT’ın değiştirilmiş bir versiyonu olan CapraRAT adlı bir casus yazılımı sunmak için YouTube gibi yasal uygulamaları taklit eden silahlı Android uygulamaları kullanıyordu. hassas veri.
Pakistan kökenli olduğundan şüphelenilen Transparent Tribe, Hindistan hükümetini ve askeri personeli hedef alan saldırılarda iki yılı aşkın süredir CapraRAT’ı kullanıyor. Grubun, çeşitli Windows ve Android casus yazılımları sunmak için hedef odaklı kimlik avı ve sulama deliği saldırılarına yönelme geçmişi var.
“Bu raporda vurgulanan etkinlik, sosyal mühendislik bahanelerinde yapılan güncellemelerle bu tekniğin devam ettiğini ve casus yazılımın Android işletim sisteminin eski sürümleriyle uyumluluğunu en üst düzeye çıkarırken saldırı yüzeyini Android’in modern sürümlerini de içerecek şekilde genişletme çabalarını gösteriyor.” Delamotte açıkladı.
SentinelOne tarafından tanımlanan yeni kötü amaçlı APK dosyalarının listesi aşağıdaki gibidir:
- Çılgın Oyun (com.maeps.crygms.tktols)
- Seksi Videolar (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Silahlar (com.maeps.vdosa.tktols)
CapraRAT, YouTube’a veya CrazyGames adlı bir mobil oyun sitesine bir URL başlatmak için WebView’ı kullanır[.]com, arka planda konumlara, SMS mesajlarına, kişilere ve arama kayıtlarına erişim izinlerini kötüye kullanırken; telefon görüşmesi yapmak; ekran görüntüleri alın; veya ses ve video kaydedin.
Kötü amaçlı yazılımda dikkate değer bir değişiklik, READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS ve REQUEST_INSTALL_PACKAGES gibi izinlerin artık istenmemesidir; bu da tehdit aktörlerinin bunu bir arka kapı yerine bir gözetim aracı olarak kullanmayı hedeflediklerini göstermektedir.
Delamotte, “Eylül 2023 kampanyası ile mevcut kampanya arasında CapraRAT kodunda yapılan güncellemeler asgari düzeyde olsa da geliştiricilerin aracı daha güvenilir ve kararlı hale getirmeye odaklandıklarını gösteriyor” dedi.
“Android işletim sisteminin daha yeni sürümlerine geçme kararı mantıklı ve büyük ihtimalle grubun, 8 yıl önce piyasaya sürülen Lollipop gibi eski Android sürümlerini çalıştıran cihazları kullanma olasılığı düşük olan Hindistan hükümeti veya askeri alandaki bireyleri hedef almaya devam etmesiyle örtüşüyor.”
Açıklama, Promon’un, FjordPhantom’a benzer şekilde algılama yöntemlerini atlamaya ve işletim sisteminin erişilebilirlik hizmetleri API’sini gizlice kullanmaya çalışan Snowblind adlı yeni bir Android bankacılık kötü amaçlı yazılım türünü açığa çıkarmasıyla geldi.
“Kar Körü […] Normal bir yeniden paketleme saldırısı gerçekleştirir ancak daha az bilinen bir teknik kullanır. ikinci komp “Birçok kurcalama önleme mekanizmasını atlatabilen” şirket söz konusu.
“İlginçtir ki, FjordPhantom ve Snowblind Güneydoğu Asya’daki uygulamaları hedef alıyor ve güçlü yeni saldırı tekniklerinden yararlanıyor. Bu, o bölgedeki kötü amaçlı yazılım yazarlarının son derece karmaşık hale geldiğini gösteriyor.”
Delamotte, “Eylül 2023 kampanyası ile mevcut kampanya arasında CapraRAT kodunda yapılan güncellemeler asgari düzeyde olsa da geliştiricilerin aracı daha güvenilir ve kararlı hale getirmeye odaklandıklarını gösteriyor” dedi.
“Android işletim sisteminin daha yeni sürümlerine geçme kararı mantıklı ve muhtemelen grubun Hindistan hükümeti veya askeri alandaki, Lollipop gibi Android’in eski sürümlerini çalıştıran cihazları kullanma olasılığı düşük olan bireyleri sürekli olarak hedeflemesiyle uyumludur. 8 yıl önce yayınlandı.”
Bu açıklama, Promon’un Snowblind adı verilen ve FjordPhantom’a benzer şekilde işletim sisteminin erişilebilirlik hizmetleri API’sini gizlice kullanmaya çalışan yeni bir Android kötü amaçlı yazılımını ifşa etmesinin ardından geldi.
“Kar körü […] normal bir yeniden paketleme saldırısı gerçekleştirir ancak daha az bilinen bir teknik kullanır ikinci komp Bu, pek çok kurcalamaya karşı mekanizmayı atlatabilme kapasitesine sahip” dedi. söz konusu.
“İlginçtir ki, FjordPhantom ve Snowblind Güneydoğu Asya’daki uygulamaları hedef alıyor ve güçlü yeni saldırı tekniklerinden yararlanıyor. Bu, o bölgedeki kötü amaçlı yazılım yazarlarının son derece karmaşık hale geldiğini gösteriyor.”