El actor de amenazas conocido como Transparent Tribe ha seguido lanzando aplicaciones de Android con malware como parte de una campa\u00f1a de ingenier\u00eda social dirigida a personas de inter\u00e9s.<\/p>\n
“Estos APK contin\u00faan la tendencia del grupo de incorporar software esp\u00eda en aplicaciones de navegaci\u00f3n de videos seleccionados, con una nueva expansi\u00f3n dirigida a jugadores m\u00f3viles, entusiastas de las armas y fan\u00e1ticos de TikTok”, dijo el investigador de seguridad de SentinelOne, Alex Delamotte. dicho<\/a> en un nuevo informe compartido con The Hacker News.<\/p>\n La campa\u00f1a, denominada CapraTube, fue descrita por primera vez por la empresa de ciberseguridad en septiembre de 2023, y el equipo de piratas inform\u00e1ticos emple\u00f3 aplicaciones de Android armadas que se hac\u00edan pasar por aplicaciones leg\u00edtimas como YouTube para entregar un software esp\u00eda llamado CapraRAT, una versi\u00f3n modificada de AndroRAT con capacidades para capturar una amplia gama de informacion delicada.<\/p>\n La Tribu Transparente, que se sospecha es de origen paquistan\u00ed, ha aprovechado CapraRAT durante m\u00e1s de dos a\u00f1os en ataques contra el gobierno y el personal militar de la India. El grupo tiene un historial de recurrir al phishing y a los ataques de abrevadero para entregar una variedad de software esp\u00eda para Windows y Android.<\/p>\n “La actividad resaltada en este informe muestra la continuaci\u00f3n de esta t\u00e9cnica con actualizaciones de los pretextos de ingenier\u00eda social, as\u00ed como esfuerzos para maximizar la compatibilidad del spyware con versiones anteriores del sistema operativo Android mientras se expande la superficie de ataque para incluir versiones modernas de Android”, explic\u00f3 Delamotte.<\/p>\n La lista de nuevos archivos APK maliciosos identificados por SentinelOne es la siguiente:<\/p>\n CapraRAT utiliza WebView para lanzar una URL a YouTube o a un sitio de juegos m\u00f3viles llamado CrazyGames[.]com, mientras que, en segundo plano, abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; hacer llamadas telef\u00f3nicas; tomar capturas de pantalla; o grabar audio y v\u00eddeo.<\/p>\n Un cambio notable en el malware es que ya no se solicitan permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS y \u200b\u200bREQUEST_INSTALL_PACKAGES, lo que sugiere que los actores de amenazas pretenden usarlo como una herramienta de vigilancia m\u00e1s que como una puerta trasera.<\/p>\n “Las actualizaciones del c\u00f3digo CapraRAT entre la campa\u00f1a de septiembre de 2023 y la campa\u00f1a actual son m\u00ednimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea m\u00e1s confiable y estable”, dijo Delamotte.<\/p>\n “La decisi\u00f3n de migrar a versiones m\u00e1s nuevas del sistema operativo Android es l\u00f3gica y probablemente se alinea con el objetivo sostenido del grupo de atacar a individuos en el gobierno indio o en el espacio militar, quienes probablemente no usen dispositivos con versiones anteriores de Android, como Lollipop, que se lanz\u00f3 hace 8 a\u00f1os”.<\/p>\n La divulgaci\u00f3n se produce cuando Promon revel\u00f3 un nuevo tipo de malware bancario para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los m\u00e9todos de detecci\u00f3n y hacer uso de la API de servicios de accesibilidad del sistema operativo de manera subrepticia.<\/p>\n “Ceguera de nieve […] realiza un ataque de reempaquetado normal pero utiliza una t\u00e9cnica menos conocida basada en Seccomp<\/a> que es capaz de eludir muchos mecanismos antimanipulaci\u00f3n”, dijo la empresa dicho<\/a>.<\/p>\n “Curiosamente, FjordPhantom y Snowblind atacan aplicaciones del sudeste asi\u00e1tico y utilizan nuevas y poderosas t\u00e9cnicas de ataque. Eso parece indicar que los autores de malware en esa regi\u00f3n se han vuelto extremadamente sofisticados”.<\/p>\n “Las actualizaciones del c\u00f3digo CapraRAT entre la campa\u00f1a de septiembre de 2023 y la campa\u00f1a actual son m\u00ednimas, pero sugieren que los desarrolladores est\u00e1n centrados en hacer que la herramienta sea m\u00e1s confiable y estable”, dijo Delamotte.<\/p>\n “La decisi\u00f3n de migrar a versiones m\u00e1s nuevas del sistema operativo Android es l\u00f3gica y probablemente se alinea con el objetivo sostenido del grupo de atacar a individuos en el gobierno indio o en el espacio militar, quienes probablemente no usen dispositivos con versiones anteriores de Android, como Lollipop, que se lanz\u00f3 hace 8 a\u00f1os”.<\/p>\n La divulgaci\u00f3n se produce cuando Promon revel\u00f3 un nuevo tipo de malware para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los m\u00e9todos de detecci\u00f3n y hacer uso de la API de servicios de accesibilidad del sistema operativo de manera subrepticia.<\/p>\n “Ceguera de nieve […] realiza un ataque de reempaquetado normal pero utiliza una t\u00e9cnica menos conocida basada en segundo<\/a> que es capaz de eludir muchos mecanismos antimanipulaci\u00f3n”, afirma la empresa. dicho<\/a>.<\/p>\n “Curiosamente, FjordPhantom y Snowblind atacan aplicaciones del sudeste asi\u00e1tico y utilizan nuevas y poderosas t\u00e9cnicas de ataque. Eso parece indicar que los autores de malware en esa regi\u00f3n se han vuelto extremadamente sofisticados”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/El-software-espia-CapraRAT-disfrazado-de-aplicaciones-populares-amenaza-a.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/section>\n