Aktér hrozeb známý jako Transparent Tribe pokračoval ve vypouštění aplikací pro Android s malwarem v rámci kampaně sociálního inženýrství, která se zaměřuje na jednotlivce, kteří mají zájem.
„Tyto soubory APK pokračují v trendu skupiny vkládání spywaru do vybraných aplikací pro procházení videa s novým rozšířením zaměřeným na mobilní hráče, nadšence do zbraní a fanoušky TikToku,“ uvedl bezpečnostní výzkumník SentinelOne Alex Delamotte v nové zprávě sdílené s The Hacker News.
Kampaň nazvaná CapraTube byla poprvé nastíněna společností zabývající se kybernetickou bezpečností v září 2023, přičemž hackerský tým využíval aplikace pro Android se zbraněmi, které se vydávaly za legitimní aplikace, jako je YouTube, aby doručil spyware s názvem CapraRAT, upravenou verzi AndroRAT se schopností zachytit širokou škálu citlivých dat.
Transparent Tribe, podezřelý z toho, že je pákistánského původu, využíval CapraRAT více než dva roky při útocích zaměřených na indickou vládu a vojenský personál. Tato skupina se v minulosti opírala o spear-phishing a watering hole útoky, aby doručila různé druhy spywaru pro Windows a Android.
„Aktivita zdůrazněná v této zprávě ukazuje pokračování této techniky s aktualizacemi záminek sociálního inženýrství, stejně jako snahu maximalizovat kompatibilitu spywaru se staršími verzemi operačního systému Android a zároveň rozšířit prostor pro útok tak, aby zahrnoval moderní verze Androidu,“ vysvětlil Delamott.
Seznam nových škodlivých souborů APK identifikovaných SentinelOne je následující –
Bláznivá hra (com.maeps.crygms.tktols)
Sexy videa (com.nobra.crygms.tktols)
TikToks (com.maeps.vdosa.tktols)
Zbraně (com.maeps.vdosa.tktols)
CapraRAT používá WebView ke spuštění URL adresy buď na YouTube, nebo na mobilní herní stránku s názvem CrazyGames.com, zatímco na pozadí zneužívá svá oprávnění k přístupu k místům, SMS zprávám, kontaktům a protokolům hovorů, může telefonovat, pořizovat snímky obrazovky nebo nahrávát zvuk a video.
Pozoruhodnou změnou malwaru je, že již nejsou vyžadována oprávnění, jako jsou READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS a REQUEST_INSTALL_PACKAGES, což naznačuje, že aktéři hrozeb se jej snaží používat jako sledovací nástroj než jako zadní vrátka.
„Aktualizace kódu CapraRAT mezi kampaní v září 2023 a současnou kampaní jsou minimální, ale naznačují, že se vývojáři zaměřují na to, aby byl nástroj spolehlivější a stabilnější,“ řekl Delamotte.
„Rozhodnutí přejít na novější verze operačního systému Android je logické a pravděpodobně je v souladu s trvalým zaměřením skupiny na jednotlivce v indické vládě nebo vojenském prostoru, u kterých je nepravděpodobné, že by používali zařízení se staršími verzemi Androidu, jako je Lollipop, který byl vydán před 8 lety.“
Odhalení přichází v době, kdy společnost Promon odhalila nový typ bankovního malwaru pro Android s názvem Snowblind, který se podobným způsobem jako FjordPhantom pokouší obejít metody detekce a tajně využívat API služeb přístupnosti operačního systému.
Použitím funkce seccomp k zachycování a manipulaci se systémovými hovory umožňuje malwaru nejen narušit bezpečnostní kontroly a uniknout radaru, ale také ukrást přihlašovací údaje, exportovat data a deaktivovat funkce, jako je dvoufaktorová autentizace (2FA) nebo biometrické ověření.
„Sněhová slepota neprovádí běžný útok přebalením, ale používá méně známou techniku založenou na seccomp, která je schopna obejít mnoho mechanismů proti manipulaci,“ uvedla společnost.
„Zajímavé je, že FjordPhantom a Snowblind se zaměřují na aplikace z jihovýchodní Asie a využívají nové silné útočné techniky. Zdá se, že to naznačuje, že autoři malwaru v tomto regionu se stali extrémně sofistikovanými.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
