Individuos y organizaciones tibetanas, uigures y taiwanesas son el objetivo de una campaña persistente orquestada por un actor de amenazas cuyo nombre en código Mal Bambú para recopilar información sensible.
«El atacante ha creado sitios web tibetanos falsos, junto con perfiles de redes sociales, probablemente utilizados para implementar exploits basados en navegadores contra usuarios específicos», dijeron en un comunicado los investigadores de seguridad de Volexity Callum Roxan, Paul Rascagneres y Thomas Lancaster. informe publicado la semana pasada.
«En parte haciéndose pasar por comunidades populares existentes, el atacante ha creado comunidades en plataformas en línea, como Telegram, para ayudar en la distribución de su malware».
EvilBamboo, anteriormente rastreado por la empresa de ciberseguridad con el nombre de Evil Eye, ha sido vinculado a múltiples oleadas de ataques. desde al menos 2019, en el que el actor de amenazas aprovecha los ataques de abrevadero para distribuir software espía dirigido a dispositivos Android e iOS. También se la conoce como Earth Empusa y POISON CARP.
Las intrusiones dirigidas contra el sistema operativo móvil de Apple aprovecharon una vulnerabilidad de día cero en el motor del navegador WebKit que Apple parchó a principios de 2019 para generar una cepa de software espía llamada Insomnia. Meta, en marzo de 2021, dijo que detectó que el actor de amenazas abusaba de sus plataformas para distribuir sitios web maliciosos que alojaban el malware.
También se sabe que el grupo utiliza malware para Android, como ActionSpy y PluginPhantom, para recopilar datos valiosos de dispositivos comprometidos bajo la apariencia de aplicaciones de diccionario, teclado y oración disponibles en tiendas de aplicaciones de terceros.
Los últimos hallazgos de Volexity atribuyen a EvilBamboo tres nuevas herramientas de espionaje de Android, a saber, BADBAZAAR, BADSIGNAL y BADSOLAR, la primera de las cuales fue documentada por Lookout en noviembre de 2022.
Un informe posterior de ESET del mes pasado detalló dos aplicaciones troyanizadas haciéndose pasar por Signal y Telegram en Google Play Store para atraer a los usuarios a instalar BADSIGNAL. Si bien la firma eslovaca de ciberseguridad asignó el software falso a la familia BADBAZAAR, citando similitudes de código, Volexity dijo que «también parecen ser divergentes en su desarrollo y funcionalidad».
Las cadenas de ataque utilizadas para distribuir las familias de malware implican el uso de foros para compartir APK, sitios web falsos que anuncian Signal, Telegram y WhatsApp, canales de Telegram dedicados a compartir aplicaciones de Android y un conjunto de perfiles falsos en Facebook, Instagram, Reddit, X (anteriormente Twitter) y YouTube.
«Las variantes de Telegram implementan los mismos puntos finales de API que las variantes de Signal para recopilar información del dispositivo e implementan un proxy», dijeron los investigadores, y agregaron que identificaron puntos finales que indican la existencia de una versión iOS de BADSIGNAL.
También se dice que uno de los canales de Telegram contenía un enlace a una aplicación de iOS llamada TibetOne que ya no está disponible en la App Store de Apple.
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
Los mensajes compartidos a través de los grupos de Telegram también se han utilizado para distribuir aplicaciones con puerta trasera del malware BADSOLAR, así como enlaces trampa que, cuando se visitan, ejecutan JavaScript malicioso para perfilar y tomar huellas digitales del sistema.
Si bien BADBAZAAR se utiliza principalmente para atacar a uigures y otras personas de fe musulmana, BADSOLAR parece usarse principalmente con aplicaciones de temática tibetana. Sin embargo, ambas cepas incorporan sus capacidades maliciosas en forma de una segunda etapa que se recupera de un servidor remoto.
El malware de segunda etapa de BADSOLAR es también una bifurcación de un troyano de acceso remoto de código abierto para Android llamado AndroRAT. BADSIGNAL, por el contrario, incluye todas sus funciones de recopilación de información en el propio paquete principal.
«Estas campañas dependen en gran medida de que los usuarios instalen aplicaciones con puerta trasera, lo que resalta tanto la importancia de instalar sólo aplicaciones de autores confiables como la falta de mecanismos de seguridad efectivos para evitar que las aplicaciones con puerta trasera lleguen a las tiendas de aplicaciones oficiales», dijeron los investigadores.
«La creación de sitios web falsos por parte de EvilBamboo y las personas adaptadas a los grupos específicos a los que se dirigen ha sido un aspecto clave de sus operaciones, lo que les ha permitido construir comunidades confiables que brindan más vías para atacar a personas con su software espía o para otras explotaciones».