Группа угроз, известная как Transparent Tribe, продолжает выпускать зараженные вредоносным ПО Android-приложения в рамках социальной инженерной кампании, направленной на интересующих их лиц.
«Эти APK продолжают тенденцию группы по внедрению шпионского ПО в специально подобранные приложения для просмотра видео, с новым расширением, нацеленным на мобильных геймеров, оружейных энтузиастов и поклонников TikTok», — сообщил исследователь безопасности SentinelOne Алекс Деламотт в новом отчете, опубликованном на The Hacker News.
Кампания, получившая название CapraTube, была впервые описана компанией по кибербезопасности в сентябре 2023 года. Хакеры использовали зараженные Android-приложения, маскирующиеся под легитимные приложения, такие как YouTube, для доставки шпионского ПО под названием CapraRAT, модифицированной версии AndroRAT с возможностями захвата широкого спектра конфиденциальных данных.
Новые вредоносные APK-файлы
- Crazy Game (com.maeps.crygms.tktols)
- Sexy Videos (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Weapons (com.maeps.vdosa.tktols)
CapraRAT использует WebView для запуска URL на YouTube или сайт мобильных игр CrazyGames[.]com, в то время как в фоновом режиме злоупотребляет своими разрешениями для доступа к местоположению, SMS-сообщениям, контактам и журналам вызовов; совершает телефонные звонки; делает скриншоты; или записывает аудио и видео.
Заметное изменение в вредоносном ПО заключается в том, что разрешения, такие как READINSTALLSESSIONS, GETACCOUNTS, AUTHENTICATEACCOUNTS и REQUESTINSTALLPACKAGES больше не запрашиваются, что предполагает, что злоумышленники стремятся использовать его скорее как инструмент наблюдения, чем как бэкдор.
«Обновления кода CapraRAT между кампанией сентября 2023 года и текущей кампанией минимальны, но предполагают, что разработчики сосредоточены на повышении надежности и стабильности инструмента», — отметил Деламотт.
«Решение перейти на более новые версии ОС Android логично и, вероятно, связано с устойчивым нацеливанием группы на лиц из индийского правительства или военной сферы, которые вряд ли используют устройства с более старыми версиями Android, такими как Lollipop, выпущенная 8 лет назад».
Новое банковское вредоносное ПО для Android Snowblind
Раскрытие информации происходит на фоне того, как Promon сообщил о новом типе банковского вредоносного ПО для Android под названием Snowblind, которое, подобно FjordPhantom, пытается обойти методы обнаружения и использовать API служб доступности операционной системы скрытным образом.
«Snowblind […] выполняет обычную атаку репакетирования, но использует менее известную технику на основе seccomp, которая способна обходить многие механизмы защиты от подделок», — заявила компания.
«Интересно, что FjordPhantom и Snowblind нацелены на приложения из Юго-Восточной Азии и используют мощные новые техники атак. Это указывает на то, что авторы вредоносного ПО в этом регионе стали чрезвычайно изощренными».
Нашли эту статью интересной? Следите за нами в Twitter и LinkedIn, чтобы читать больше эксклюзивного контента.