Прозрачное Племя продолжает кампанию вредоносного ПО против Android пользователей

Приложения и игры / Mobile / Android / Прозрачное Племя продолжает кампанию вредоносного ПО против Android пользователей
01.07.2024

Группа угроз, известная как Transparent Tribe, продолжает выпускать зараженные вредоносным ПО Android-приложения в рамках социальной инженерной кампании, направленной на интересующих их лиц.

«Эти APK продолжают тенденцию группы по внедрению шпионского ПО в специально подобранные приложения для просмотра видео, с новым расширением, нацеленным на мобильных геймеров, оружейных энтузиастов и поклонников TikTok», — сообщил исследователь безопасности SentinelOne Алекс Деламотт в новом отчете, опубликованном на The Hacker News.

Кампания, получившая название CapraTube, была впервые описана компанией по кибербезопасности в сентябре 2023 года. Хакеры использовали зараженные Android-приложения, маскирующиеся под легитимные приложения, такие как YouTube, для доставки шпионского ПО под названием CapraRAT, модифицированной версии AndroRAT с возможностями захвата широкого спектра конфиденциальных данных.

Новые вредоносные APK-файлы

  • Crazy Game (com.maeps.crygms.tktols)
  • Sexy Videos (com.nobra.crygms.tktols)
  • TikToks (com.maeps.vdosa.tktols)
  • Weapons (com.maeps.vdosa.tktols)

CapraRAT использует WebView для запуска URL на YouTube или сайт мобильных игр CrazyGames[.]com, в то время как в фоновом режиме злоупотребляет своими разрешениями для доступа к местоположению, SMS-сообщениям, контактам и журналам вызовов; совершает телефонные звонки; делает скриншоты; или записывает аудио и видео.

Заметное изменение в вредоносном ПО заключается в том, что разрешения, такие как READINSTALLSESSIONS, GETACCOUNTS, AUTHENTICATEACCOUNTS и REQUESTINSTALLPACKAGES больше не запрашиваются, что предполагает, что злоумышленники стремятся использовать его скорее как инструмент наблюдения, чем как бэкдор.

«Обновления кода CapraRAT между кампанией сентября 2023 года и текущей кампанией минимальны, но предполагают, что разработчики сосредоточены на повышении надежности и стабильности инструмента», — отметил Деламотт.

«Решение перейти на более новые версии ОС Android логично и, вероятно, связано с устойчивым нацеливанием группы на лиц из индийского правительства или военной сферы, которые вряд ли используют устройства с более старыми версиями Android, такими как Lollipop, выпущенная 8 лет назад».

Новое банковское вредоносное ПО для Android Snowblind

Раскрытие информации происходит на фоне того, как Promon сообщил о новом типе банковского вредоносного ПО для Android под названием Snowblind, которое, подобно FjordPhantom, пытается обойти методы обнаружения и использовать API служб доступности операционной системы скрытным образом.

«Snowblind […] выполняет обычную атаку репакетирования, но использует менее известную технику на основе seccomp, которая способна обходить многие механизмы защиты от подделок», — заявила компания.

«Интересно, что FjordPhantom и Snowblind нацелены на приложения из Юго-Восточной Азии и используют мощные новые техники атак. Это указывает на то, что авторы вредоносного ПО в этом регионе стали чрезвычайно изощренными».

Нашли эту статью интересной? Следите за нами в Twitter и LinkedIn, чтобы читать больше эксклюзивного контента.

Обновлено: 01.07.2024