El actor de amenazas conocido como Transparent Tribe ha seguido lanzando aplicaciones de Android con malware como parte de una campaña de ingeniería social dirigida a personas de interés.
«Estos APK continúan la tendencia del grupo de incorporar software espía en aplicaciones de navegación de videos seleccionados, con una nueva expansión dirigida a jugadores móviles, entusiastas de las armas y fanáticos de TikTok», dijo el investigador de seguridad de SentinelOne, Alex Delamotte. dicho en un nuevo informe compartido con The Hacker News.
La campaña, denominada CapraTube, fue descrita por primera vez por la empresa de ciberseguridad en septiembre de 2023, y el equipo de piratas informáticos empleó aplicaciones de Android armadas que se hacían pasar por aplicaciones legítimas como YouTube para entregar un software espía llamado CapraRAT, una versión modificada de AndroRAT con capacidades para capturar una amplia gama de informacion delicada.
La Tribu Transparente, que se sospecha es de origen paquistaní, ha aprovechado CapraRAT durante más de dos años en ataques contra el gobierno y el personal militar de la India. El grupo tiene un historial de recurrir al phishing y a los ataques de abrevadero para entregar una variedad de software espía para Windows y Android.
«La actividad resaltada en este informe muestra la continuación de esta técnica con actualizaciones de los pretextos de ingeniería social, así como esfuerzos para maximizar la compatibilidad del spyware con versiones anteriores del sistema operativo Android mientras se expande la superficie de ataque para incluir versiones modernas de Android», explicó Delamotte.
La lista de nuevos archivos APK maliciosos identificados por SentinelOne es la siguiente:
- Juego loco (com.maeps.crygms.tktols)
- Vídeos sexys (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Armas (com.maeps.vdosa.tktols)
CapraRAT utiliza WebView para lanzar una URL a YouTube o a un sitio de juegos móviles llamado CrazyGames[.]com, mientras que, en segundo plano, abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; hacer llamadas telefónicas; tomar capturas de pantalla; o grabar audio y vídeo.
Un cambio notable en el malware es que ya no se solicitan permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS y REQUEST_INSTALL_PACKAGES, lo que sugiere que los actores de amenazas pretenden usarlo como una herramienta de vigilancia más que como una puerta trasera.
«Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable», dijo Delamotte.
«La decisión de migrar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinea con el objetivo sostenido del grupo de atacar a individuos en el gobierno indio o en el espacio militar, quienes probablemente no usen dispositivos con versiones anteriores de Android, como Lollipop, que se lanzó hace 8 años».
La divulgación se produce cuando Promon reveló un nuevo tipo de malware bancario para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de manera subrepticia.
«Ceguera de nieve […] realiza un ataque de reempaquetado normal pero utiliza una técnica menos conocida basada en Seccomp que es capaz de eludir muchos mecanismos antimanipulación», dijo la empresa dicho.
«Curiosamente, FjordPhantom y Snowblind atacan aplicaciones del sudeste asiático y utilizan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados».
«Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores están centrados en hacer que la herramienta sea más confiable y estable», dijo Delamotte.
«La decisión de migrar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinea con el objetivo sostenido del grupo de atacar a individuos en el gobierno indio o en el espacio militar, quienes probablemente no usen dispositivos con versiones anteriores de Android, como Lollipop, que se lanzó hace 8 años».
La divulgación se produce cuando Promon reveló un nuevo tipo de malware para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de manera subrepticia.
«Ceguera de nieve […] realiza un ataque de reempaquetado normal pero utiliza una técnica menos conocida basada en segundo que es capaz de eludir muchos mecanismos antimanipulación», afirma la empresa. dicho.
«Curiosamente, FjordPhantom y Snowblind atacan aplicaciones del sudeste asiático y utilizan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados».