El actor de amenazas conocido como Transparent Tribe continuó lanzando aplicaciones de Android que contienen malware como parte de una campaña de ingeniería social dirigida a personas de interés.
“Estos APK continúan la tendencia del grupo de incorporar software espía en aplicaciones de navegación de videos seleccionadas, con una nueva extensión dirigida a jugadores móviles, entusiastas de las armas y fanáticos de TikTok”, dijo Alex Delamotte, investigador de seguridad de SentinelOne. dicho en un nuevo informe compartido con The Hacker News.
Los datos confidenciales de la cámara.
La Tribu Transparente, que se cree es de origen paquistaní, ha estado operando CapraRAT durante más de dos años en ataques dirigidos al gobierno y al personal militar de la India. El grupo ha dependido durante mucho tiempo del phishing y los ataques de abrevadero para entregar una variedad de software espía para Windows y Android.
“La actividad destacada en este informe muestra la continuación de esta técnica con actualizaciones de pretextos de ingeniería social, así como esfuerzos para maximizar la compatibilidad del software espía con versiones anteriores del sistema operativo Android, al mismo tiempo que se expande la superficie de ataque para incluir versiones modernas de Android”. explicó Delamotte.
La lista de nuevos archivos APK maliciosos identificados por SentinelOne es la siguiente:
- Juego loco (com.maeps.crygms.tktols)
- Vídeos sexy (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Armas (com.maeps.vdosa.tktols)
CapraRAT usa WebView para iniciar una URL a YouTube o un sitio de juegos móviles llamado CrazyGames[.]com, mientras que en segundo plano abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; hacer llamadas telefónicas; tomar capturas de pantalla; o grabar audio y vídeo.
Un cambio notable en el malware es que ya no se solicitan permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS y REQUEST_INSTALL_PACKAGES, lo que sugiere que los actores de amenazas pretenden usarlo como una herramienta de monitoreo en lugar de una puerta trasera.
“Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable”, dijo Delamotte.
“La decisión de actualizar a versiones más nuevas del sistema operativo Android tiene sentido y probablemente se alinea con el objetivo apoyado por el grupo de individuos en el gobierno indio o en el espacio militar, que probablemente no utilicen dispositivos que ejecuten versiones anteriores de Android, como Lollipop, que fue lanzado Hace 8 años.”
Esta revelación se produce cuando Promon presentó un nuevo tipo de malware bancario para Android llamado Snowblind que, similar a FjordPhantom, intenta eludir los métodos de detección y utilizar subrepticiamente la API de servicios de accesibilidad del sistema operativo.
“Nieve ciega […] realiza un ataque de reacondicionamiento normal pero utiliza una técnica menos conocida basada en segundo que es capaz de eludir muchos mecanismos antimanipulación”, dijo la compañía dicho.
“Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y utilizan nuevas y poderosas técnicas de ataque. Esto parece indicar que los autores de malware en esta región se han vuelto extremadamente sofisticados. »
“Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable”, dijo Delamotte.
“La decisión de actualizar a versiones más nuevas del sistema operativo Android es lógica y probablemente parte del objetivo continuo del grupo de individuos dentro del gobierno indio o del espacio militar, que probablemente no utilicen dispositivos que ejecuten versiones anteriores de Android, como Lollipop, lanzado hace 8 años. »
Esta divulgación se produce cuando Promon reveló un nuevo tipo de malware para Android llamado Snowblind que, similar a FjordPhantom, intenta eludir los métodos de detección y utilizar la API de Servicios de Accesibilidad del sistema operativo de forma subrepticia.
“Nieve ciega […] realiza un ataque de reacondicionamiento normal pero utiliza una técnica menos conocida basada en segundo capaz de eludir muchos mecanismos antimanipulación”, dijo la compañía dicho.
“Curiosamente, FjordPhantom y Snowblind están apuntando a aplicaciones del sudeste asiático y aprovechando nuevas y poderosas técnicas de ataque. Esto parece indicar que los autores de malware en esta región se han vuelto extremadamente sofisticados. »