L’acteur malveillant connu sous le nom de Transparent Tribe a continué à diffuser des applications Android contenant des logiciels malveillants dans le cadre d’une campagne d’ingénierie sociale visant à cibler des individus d’intérêt.
« Ces APK poursuivent la tendance du groupe consistant à intégrer des logiciels espions dans des applications de navigation vidéo organisées, avec une nouvelle extension ciblant les joueurs mobiles, les passionnés d’armes et les fans de TikTok », a déclaré Alex Delamotte, chercheur en sécurité chez SentinelOne. dit dans un nouveau rapport partagé avec The Hacker News.
La campagne, baptisée CapraTube, a été décrite pour la première fois par la société de cybersécurité en septembre 2023, l’équipe de pirates utilisant des applications Android militarisées se faisant passer pour des applications légitimes comme YouTube pour diffuser un logiciel espion appelé CapraRAT, une version modifiée d’AndroRAT avec des capacités pour capturer un large éventail de données sensibles.
Transparent Tribe, soupçonné d’être d’origine pakistanaise, utilise CapraRAT depuis plus de deux ans pour attaquer le gouvernement indien et le personnel militaire. Le groupe a l’habitude de recourir à des attaques de spear-phishing et de watering hole pour diffuser divers logiciels espions Windows et Android.
« L’activité mise en évidence dans ce rapport montre la poursuite de cette technique avec des mises à jour des prétextes d’ingénierie sociale ainsi que des efforts visant à maximiser la compatibilité du logiciel espion avec les anciennes versions du système d’exploitation Android tout en élargissant la surface d’attaque pour inclure les versions modernes d’Android », Delamotte a expliqué.
La liste des nouveaux fichiers APK malveillants identifiés par SentinelOne est la suivante –
- Jeu fou (com.maeps.crygms.tktols)
- Vidéos sexy (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Armes (com.maeps.vdosa.tktols)
CapraRAT utilise WebView pour lancer une URL vers YouTube ou un site de jeu mobile nommé CrazyGames[.]com, tandis qu’en arrière-plan, il abuse de ses autorisations pour accéder aux emplacements, aux messages SMS, aux contacts et aux journaux d’appels ; faire des appels téléphoniques; prendre des captures d’écran ; ou enregistrer de l’audio et de la vidéo.
Un changement notable apporté au malware est que les autorisations telles que READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS et REQUEST_INSTALL_PACKAGES ne sont plus demandées, ce qui suggère que les acteurs de la menace visent à l’utiliser comme un outil de surveillance plutôt que comme une porte dérobée.
« Les mises à jour du code CapraRAT entre la campagne de septembre 2023 et la campagne actuelle sont minimes, mais suggèrent que les développeurs se concentrent sur la rendre l’outil plus fiable et plus stable », a déclaré Delamotte.
« La décision de passer à des versions plus récentes du système d’exploitation Android est logique et s’inscrit probablement dans le cadre du ciblage constant par le groupe d’individus au sein du gouvernement indien ou de l’espace militaire, qui ne sont pas susceptibles d’utiliser des appareils fonctionnant sous d’anciennes versions d’Android, comme Lollipop, sorti il y a 8 ans. »
Cette révélation intervient alors que Promon a dévoilé un nouveau type de malware bancaire Android appelé Snowblind qui, de manière similaire à FjordPhantom, tente de contourner les méthodes de détection et d’utiliser l’API des services d’accessibilité du système d’exploitation de manière subreptice.
» Aveugle des neiges […] effectue une attaque de reconditionnement normale mais utilise une technique moins connue basée sur seccomp capable de contourner de nombreux mécanismes anti-falsification », a déclaré la société dit.
« Il est intéressant de noter que FjordPhantom et Snowblind ciblent les applications d’Asie du Sud-Est et utilisent de nouvelles techniques d’attaque puissantes. Cela semble indiquer que les auteurs de malwares dans cette région sont devenus extrêmement sophistiqués. »
« Les mises à jour du code CapraRAT entre la campagne de septembre 2023 et la campagne actuelle sont minimes, mais suggèrent que les développeurs se concentrent sur la rendre l’outil plus fiable et plus stable », a déclaré Delamotte.
« La décision de passer à des versions plus récentes du système d’exploitation Android est logique et s’aligne probablement avec le ciblage soutenu par le groupe des individus du gouvernement indien ou de l’espace militaire, qui sont peu susceptibles d’utiliser des appareils exécutant d’anciennes versions d’Android, comme Lollipop qui était sorti il y a 8 ans. »
Cette révélation intervient alors que Promon a dévoilé un nouveau type de malware Android appelé Snowblind qui, de manière similaire à FjordPhantom, tente de contourner les méthodes de détection et d’utiliser l’API des services d’accessibilité du système d’exploitation de manière subreptice.
» Aveugle des neiges […] effectue une attaque de reconditionnement normale mais utilise une technique moins connue basée sur seccomp qui est capable de contourner de nombreux mécanismes anti-falsification », a déclaré la société dit.
« Il est intéressant de noter que FjordPhantom et Snowblind ciblent les applications d’Asie du Sud-Est et utilisent de nouvelles techniques d’attaque puissantes. Cela semble indiquer que les auteurs de malwares dans cette région sont devenus extrêmement sophistiqués. »