Transparent Tribe: Επεκτείνεται διαδίδοντας κακόβουλες εφαρμογές Android
Η κακόβουλη καμπάνια Transparent Tribe επεκτείνεται, χρησιμοποιώντας εφαρμογές Android που συνδέονται με κακόβουλο λογισμικό, στοχεύοντας συγκεκριμένα άτομα μέσω κοινωνικής μηχανικής (social engineering).
Σύμφωνα με την έρευνα του Alex Delamotte από την SentinelOne, η ομάδα ενσωμάτωσε λογισμικό κατασκοπείας σε εφαρμογές περιήγησης βίντεο, στοχεύοντας πλέον χρήστες φορητών συσκευών, λάτρεις των όπλων και οπαδούς του TikTok. Η καμπάνια αυτή, με την ονομασία CapraTube, ανακαλύφθηκε τον Σεπτέμβριο του 2023. Η συμμορία Transparent Tribe χρησιμοποιεί εφαρμογές που εμφανίζονται ως νόμιμες, όπως το YouTube, για να διανείμει spyware με την ονομασία CapraRAT, μια τροποποιημένη έκδοση του AndroRAT, ικανή να καταγράφει ευαίσθητα δεδομένα.
Η ομάδα, που φέρεται να προέρχεται από το Πακιστάν, έχει χρησιμοποιήσει το CapraRAT για επιθέσεις κατά της ινδικής κυβέρνησης και του στρατού για περισσότερο από δύο χρόνια. Οι μέθοδοί τους περιλαμβάνουν επιθέσεις phishing και επιθέσεις μέσω μολυσμένων ιστοσελίδων. Πρόσφατες δραστηριότητες αποκαλύπτουν ότι ανανεώνουν τις τεχνικές κοινωνικής μηχανικής και βελτιώνουν τη συμβατότητα του spyware με παλαιότερες και σύγχρονες εκδόσεις Android.Η SentinelOne εντόπισε νέα κακόβουλα αρχεία APK, όπως εφαρμογές Crazy Game και TikToks, που χρησιμοποιούν το WebView για την εκκίνηση URL, ενώ καταχρώνται τις άδειες για πρόσβαση σε ευαίσθητα δεδομένα και εκτελούν ενέργειες όπως πραγματοποίηση κλήσεων και εγγραφή ήχου/βίντεο.
Μια σημαντική ενημέρωση για το κακόβουλο λογισμικό δείχνει ότι ζητούνται λιγότερα δικαιώματα, όπως το READ_INSTALL_SESSIONS και το GET_ACCOUNTS, κάτι που σημαίνει ότι επικεντρώνονται περισσότερο στην παρακολούθηση παρά στην πρόσβαση σε backdoors.
Ο Delamotte επισημαίνει ότι οι πρόσφατες αλλαγές αποσκοπούν στην ενίσχυση της αξιοπιστίας και της σταθερότητας του CapraRAT, με στόχο άτομα στην κυβέρνηση ή τον στρατό της Ινδίας που χρησιμοποιούν νεότερες εκδόσεις του Android.
Παράλληλα, η Promon αποκάλυψε ένα νέο τραπεζικό κακόβουλο λογισμικό για Android, ονόματι Snowblind, το οποίο είναι παρόμοιο με το FjordPhantom. Το Snowblind παρακάμπτει τους μηχανισμούς ανίχνευσης χρησιμοποιώντας το API υπηρεσιών προσβασιμότητας μέσω μιας τεχνικής που βασίζεται στο seccomp. Στοχεύοντας εφαρμογές της Νοτιοανατολικής Ασίας, το λογισμικό αυτό επιδεικνύει την εξέλιξη των μεθόδων επίθεσης που χρησιμοποιούν οι δημιουργοί κακόβουλου λογισμικού σε αυτή την περιοχή.
