Transparent Tribe, transparentni životi novi Android spajver distribuiran pod maskom popularnih aplikacija

Istraživači kompanije Kaspersky podelili su svoje nalaze o novoj Android spajver aplikaciji koju u Indiji, pod maskom sadržaja za odrasle i zvaničnih COVID-19 aplikacija, distribuira uspešna APT grupa Transparent Tribe. To je u skladu sa težnjama grupe da proširi svoje operacije i inficira mobilne uređaje. Ovi, i drugi nalazi, objavljeni su u drugom delu istrage ovog aktera pretnji.

Pandemija je tema koju akteri pretnji često eksploatišu i pokreću pretnje socijalnog inženjeringa. Ova tema nastavlja da bude relevantna čak i sada. Transparent Tribe grupa, akter pretnji koga kompanija Kaspersky prati više od četiri godine, takođe koristi ovu popularnu temu u svojim kampanjama.

Nedavni nalazi ukazuju na to da grupa aktivno radi na unapređenju svog seta alata i na proširenju svog domašaja kako bi uključila pretnje po mobilne uređaje. Tokom prethodne istrage grupe Transparent Tribe, kompanija Kaspersky je pronašla novi Android implant koga je akter pretnji koristio za špijuniranje mobilnih uređaja u toku napada, koji je distribuiran u Indiji kao aplikacija povezana za pornografijom i kao lažne nacionalne aplikacije za COVID-19 praćenje. Grupa i dve aplikacije su dovedene u vezu zahvaljujući povezanim domenima koje je akter koristio kao hostove malicioznih fajlova namenjenih za različite kampanje.

Prva aplikacija predstavlja modifikovanu verziju jednostavnog video plejera otvorenog izvora za Android sistem, koja, prilikom instalacije, prikazuje video za odrasle radi skretanja pažnje. Druga inficirana aplikacija se zove “Aarogya Setu” – slično aplikaciji za mobilne uređaje za COVID-19 praćenje koju je razvio Nacionalni informatički centar unutar Ministarstva elektronike i informacione tehnologije Vlade Indije.

Obe aplikacije, nakon preuzimanja, pokušavaju da instaliraju drugi Android paket fajl – modifikovanu verziju AhMyth Android Remote Access Tool (RAT) – malvera otvorenog izvora koji se preuzima sa GitHub platforme, koji je izgrađen spajanjem malicioznog ‘korisnog tereta’ unutar drugih legitimnih aplikacija.

Modifikovana verzija malvera ima drugačiju funkcionalnost od standardne. Uključuje nove karakteristike koje su napadači dodali kako bi poboljšali preuzimanje podataka, dok neke druge karakteristike, kao što je krađa fotografija sa kamere, nedostaju. Aplikacija na telefonu može da preuzme nove aplikacije, pristupi SMS porukama, mikrofonu, evidenciji poziva, da prati lokaciju uređaja i nabraja i sa telefona otprema fajlove na eksterni server.

“Novi nalazi naglašavaju predanost članova Transparent Tribe grupe dodavanju novih alata koji još više proširuju njihove operacije i dosežu do njihovih žrtvi putem različitih vektora napada, koji sada uključuju mobilne uređaje. Takođe primećujemo da akter neprestano radi na unapređenju i modifikovanju alata koje koriste. Kako bi se zaštitili od takvih pretnji, korisnici moraju da budu pažljiviji više nego ikada pre prilikom procenjivanja izvora sa kojih preuzimaju sadržaj i moraju da vode računa da su njihovi uređaji bezbedni. Ovo je naročito bitno za one koji znaju da mogu postati meta APT napada,” komentariše Giampaolo Dedola, glavni istraživač bezbednosti u GReAT  timu kompanije Kaspersky.

Detaljne informacije o indikatorima kompromitovanja povezanim sa ovom grupom, uključujući heševe i C2 servere, možete pronaći na portalu Kaspersky Threat Intelligence Portal.

Kako biste bili bezbedni od pretnji, kompanija Kaspersky preporučuje preduzimanje sledećih bezbednosnih mera:

  • Svom SOC timu obezbedite pristup najnovijim informacijama o pretnjama. Kaspersky Threat Intelligence Portal za kompanije predstavlja jedinstvenu tačku pristupa za informacije o pretnjama, pružajući podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupila tokom više od 20 godina.
  • Postarajte se da vaše endpoint bezbednosno rešenje pruža zaštitu za mobilne uređaje. Kaspersky Endpoint Security for Business rešenje pruža zaštitu od malvera za mobilne uređaje i osigurava da samo pouzdane aplikacije mogu da se koriste na korporativnim uređajima.
  • Pobrinite se da vaši zaposleni znaju osnove bezbednosti mobilnih uređaja tako što ćete organizovati obuke za podizanje svesti o bezbednosti koji će pokrivati takve teme. Na primer, Kaspersky Adaptive Online Training može da pomogne.