Transparent Tribe: novo spyware para Android se disfarça de apps populares
2 de setembro de 2020Ameaça avançada de espionagem se disfarça de apps falsos com conteúdo adulto ou programa nacional de rastreamento da Covid-19 para infectar suas vítimas
Os pesquisadores da Kaspersky publicaram um relatório técnico sobre um novo programa espião criado pela Transparent Tribe, um grupo ativo especializado em ameaças avançadas (APTs), que disfarçava o malware de apps com conteúdo adulto e apps oficiais relacionados à Covid-19.
De acordo com as conclusões da empresa, tal iniciativa demonstra a movimentação do grupo para ampliar operações e infectar dispositivos móveis.
A pandemia tornou-se um assunto muito explorado pelos grupos especializados, que criam ataques baseados em engenharia social. E esta foi a técnica que a Transparent Tribe, grupo monitorado pela Kaspersky há mais de quatro anos, passou a adotar em suas campanhas.
Descobertas recentes mostram que ele tem trabalhado ativamente para melhorar seu conjunto de ferramentas e expandir seu alcance para incluir ameaças para dispositivos móveis.
Durante sua investigação sobre as atividades da Transparent Tribe, a Kaspersky encontrou um novo malware para Android criado pelo grupo para espionar dispositivos móveis e distribuído na Índia como um falso app para rastreamento da Covid-19, ou de conteúdo pornográfico.
A associação entre o grupo e os dois apps foi feita graças aos domínios que eles usavam para hospedar os arquivos maliciosos das diferentes campanhas.
O primeiro app é uma versão modificada de um player de vídeo simples de código aberto para Android que, ao ser instalado, exibe um vídeo com conteúdo adulto como distração.
O segundo é chamado de “Aarogya Setu”, um nome semelhante ao do app de rastreamento da Covid-19 desenvolvido pelo centro nacional de informática do governo da Índia, subordinado ao Ministério da Tecnologia da Informação e Eletrônica.
Ambos, depois de baixados, tentam instalar outro pacote de arquivos Android, uma versão modificada das ferramentas de acesso remoto (RAT) para Android AhMyth, um malware de código aberto que pode ser baixado no GitHub, criado vinculando uma carga maliciosa dentro de outros apps legítimos.
A funcionalidade da versão modificada do malware é diferente da versão padrão. Ela inclui novos recursos criados pelos hackers para melhorar a extração de dados e faltam alguns recursos centrais anteriores, como o roubo de fotos da câmera. O aplicativo é capaz de baixar novos apps no celular, acessar mensagens SMS, microfone, registros de chamadas, rastrear a localização do dispositivo, além de listar e carregar arquivos em um servidor externo a partir do celular.
“As constatações reforçam o empenho dos membros da Transparent Tribe para adicionar novas ferramentas para expandir ainda mais suas operações e alcançar suas vítimas por diferentes vetores de ataque, que agora incluem dispositivos móveis.”
“Também observamos que o grupo está trabalhando constantemente para melhorar e modificar as ferramentas que usa. Para se proteger dessas ameaças, os usuários precisam ter mais cuidado do que nunca ao acessar fontes de download de conteúdo e verificar se os dispositivos estão seguros. Isso é especialmente importante para aqueles que sabem que podem se tornar alvo de um ataque APTs”, comenta Giampaolo Dedola, pesquisador sênior de segurança da Kaspersky.
Informações detalhadas sobre os Indicadores de Comprometimento relacionados a esse grupo, incluindo hashes de arquivos e servidores C2, podem ser acessadas no Kaspersky Threat Intelligence Portal.
Para se proteger deste ataque, a Kaspersky recomenda adotar as seguintes medidas de segurança:
• Dê à equipe do centro operacional de segurança (SOC) acesso a relatórios de inteligência recentes. O Kaspersky Threat Intelligence Portal é um ponto único de acesso ao conhecimento de ameaças da empresa, que fornece dados e insights de ciberataques reunidos pela Kaspersky há mais de 20 anos.
• Verifique se a sua solução de segurança oferece proteção para dispositivos móveis. O Kaspersky Endpoint Security for Business garante a proteção contra malware para dispositivos móveis e assegura que somente apps confiáveis possam ser usados em dispositivos corporativos.
• Garanta que seus funcionários conheçam os princípios básicos da segurança de dispositivos móveis oferecendo um curso de conscientização sobre segurança que abranja esses tópicos. Por exemplo, o Kaspersky Adaptive Online Training pode ajudar.
Para obter mais detalhes das constatações relacionadas à Transparent Tribe, veja o relatório completo em Securelist.
Ataques sem arquivo: Como os cibercriminosos exploram os aplicativos legítimos da rede corporativa
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro.
O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 250.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais no site.
