Un presunto grupo de amenazas persistentes avanzadas (APT) alineado con Pakistán conocido como Transparent Tribe ha sido vinculado a una campaña de ciberespionaje en curso dirigida a usuarios de Android indios y paquistaníes con una puerta trasera llamada CapraRAT.
“Transparent Tribe distribuyó la puerta trasera de Android CapraRAT a través de aplicaciones de mensajería y llamadas seguras troyanizadas con la marca MeetsApp y MeetUp”, ESET dicho en un informe compartido con The Hacker News.
Se estima que el malware (com.meetup.app) disponibles para descargar desde sitios web falsos que se hacen pasar por los centros de distribución oficiales de estas aplicaciones.
Se sospecha que los objetivos son atraídos a través de una estafa romántica trampa en la que el actor de amenazas se acerca a las víctimas a través de otra plataforma y las persuade para que instalen las aplicaciones con malware con el pretexto de mensajes y llamadas “seguros”.
Sin embargo, las aplicaciones, además de ofrecer la funcionalidad prometida, vienen implantadas con CapraRAT, una versión modificada de AndroRAT de código abierto que Trend Micro documentó por primera vez en febrero de 2022 y que se superpone con un malware de Windows conocido como Rata carmesí.
La puerta trasera está repleta de un amplio conjunto de funciones que le permiten tomar capturas de pantalla y fotos, grabar llamadas telefónicas y audio circundante, y filtrar otra información confidencial. También puede realizar llamadas, enviar mensajes SMS y recibir comandos para descargar archivos.
Dicho esto, los usuarios también deben crear una cuenta vinculando sus números de teléfono y completando un paso de verificación por SMS para acceder a las funcionalidades de la aplicación.
Descubra las últimas tácticas de evasión de malware y estrategias de prevención
¿Listo para acabar con los 9 mitos más peligrosos sobre los ataques basados en archivos? ¡Únase a nuestro próximo seminario web y conviértase en un héroe en la lucha contra las infecciones del paciente cero y los eventos de seguridad de día cero!
La compañía de seguridad cibernética eslovaca afirmó que la campaña tiene un objetivo limitado y que no encontró evidencia que indique que las aplicaciones estaban disponibles en Google Play Store.
Transparent Tribe, también conocida como APT36, Operation C-Major y Mythic Leopard, se atribuyó recientemente a otro conjunto de ataques dirigidos a organizaciones gubernamentales indias con versiones maliciosas de una solución de autenticación de dos factores llamada Kavach.
Los hallazgos también llegan semanas después de que la firma de seguridad cibernética ThreatMon detallara una campaña de phishing dirigido por actores de SideCopy dirigida a entidades gubernamentales indias con el objetivo de implementar una versión actualizada de una puerta trasera conocida como ReverseRAT.