Transparent Tribe olarak bilinen tehdit grubu, ilgi duyduğu kişileri hedef alan sosyal mühendislik kampanyasının bir parçası olarak kötü amaçlı yazılım içeren Android uygulamaları yayınlamaya devam ediyor.
SentinelOne güvenlik araştırmacısı Alex Delamotte, "Bu APK'lar, mobil oyuncuları, silah tutkunlarını ve TikTok hayranlarını hedefleyen yeni bir genişlemeyle grubun, küratörlü video tarama uygulamalarına casus yazılım yerleştirme eğilimini sürdürüyor" dedi.
CapraTube adlı kampanyanın ana hatları ilk öneri Eylül 2023'te siber güvenlik şirketi tarafından ortaya atıldı; bilgisayar korsanlığı ekibi, AndroRAT'ın değiştirilmiş bir versiyonu olan CapraRAT adlı bir casus yazılımı sunmak için YouTube gibi yasal uygulamaları taklit eden silahlı Android uygulamaları kullanıyordu. hassas veri.
Pakistan kökenli olduğundan şüphelenilen Transparent Tribe, Hindistan hükümetini ve askeri personeli hedef alan saldırılarda iki yılı aşkın süredir CapraRAT'ı kullanıyor. Grubun, çeşitli Windows ve Android casus yazılımları sunmak için hedef odaklı kimlik avı ve sulama deliği saldırılarına yönelme geçmişi var.
"Bu raporda vurgulanan etkinlik, sosyal mühendislik bahanelerinde yapılan güncellemelerle bu tekniğin devam ettiğini ve casus yazılımın Android işletim sisteminin eski sürümleriyle uyumluluğunu en üst düzeye çıkarırken saldırı yüzeyini Android'in modern sürümlerini de içerecek şekilde genişletme çabalarını gösteriyor." Delamotte açıkladı.
SentinelOne tarafından tespit edilen yeni kötü amaçlı APK dosyalarının listesi şu şekildedir:
- Çılgın Oyun (com.maeps.crygms.tktols)
- Seksi Videolar (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Silahlar (com.maeps.vdosa.tktols)
CapraRAT, YouTube'a veya CrazyGames[.]com adlı mobil oyun sitesine bir URL başlatmak için WebView'ı kullanıyor ve arka planda konumlara, SMS mesajlarına, kişilere ve çağrı kayıtlarına erişim izinlerini kötüye kullanıyor; telefon görüşmesi yapmak; ekran görüntüleri alın; veya ses ve video kaydedin.
Kötü amaçlı yazılımdaki dikkat çekici bir değişiklik, READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS ve REQUEST_INSTALL_PACKAGES gibi izinlerin artık istenmemesi; bu da tehdit aktörlerinin bunu bir arka kapıdan ziyade bir gözetleme aracı olarak kullanmayı amaçladıklarını gösteriyor.
Delamotte, "Eylül 2023 kampanyası ile mevcut kampanya arasında CapraRAT kodunda yapılan güncellemeler minimum düzeyde, ancak geliştiricilerin aracı daha güvenilir ve istikrarlı hale getirmeye odaklandıklarını gösteriyor." dedi.
"Android işletim sistemiinin daha yeni sürümlerine geçme kararıı mantıklı, büyük ihtimalle grubun, 8 yıl önce piiyasaya sürülen eski Android sürümlerini çalışttıran cihazları kullanma olasılığı düşükk olan Hindistan hükümeti veya askeri alandaki bireyleri hedef almaya devam etmesiyle örtüşüyor."
Açıklama, Promon'un, FjordPhantom'a benzer şekilde algılama yöntemlerini atlamaya ve işletim sisteminin erişilebilirlik hizmetleri API'sini gizlice kullanmaya çalışan Snowblind adlı yeni bir Android bankacılık kötü amaçlı yazılım türünü açığa çıkarmasıyla geldi.
Şirket, "Snowblind [...] normal bir yeniden paketleme saldırısı gerçekleştiriyor ancak birçok anti-kurcalama mekanizmasını aşabilen seccomp tabanlı daha az bilinen bir teknik kullanıyor " dedi.
"İlginçtir ki, FjordPhantom ve Snowblind Güneydoğu Asya'daki uygulamaları hedef alıyor ve güçlü yeni saldırı tekniklerinden yararlanıyor. Bu, o bölgedeki kötü amaçlı yazılım yazarlarının son derece karmaşık hale geldiğini gösteriyor."
Delamotte, "Eylül 2023 kampanyası ile mevcut kampanya arasında CapraRAT kodunda yapılan güncellemeler minimum düzeyde, ancak geliştiricilerin aracı daha güvenilir ve istikrarlı hale getirmeye odaklandıklarını gösteriyor." dedi.
"Android sisteminin yeni sürümlerine geçme kararı mantıklı ve büyük ihtimalle grubun, 8 yıl önce piyasaya sürülen Lollipop gibi eski Android sürümlerini çalıştıran cihazları kullanma olasılığı düşük olan Hindistan hükümeti veya askeri alandaki bireyleri hedef almaya devam etmesiyle örtüşüyor."
Bu açıklama, Promon'un Snowblind adı verilen ve FjordPhantom'a benzer şekilde işletim sisteminin erişilebilirlik hizmetleri API'sini gizlice kullanmaya çalışan yeni bir Android kötü amaçlı yazılımını ifşa etmesinin ardından geldi.
Şirket, "Snowblind [...] normal bir yeniden paketleme saldırısı gerçekleştiriyor ancak birçok anti-kurcalama mekanizmasını aşabilen seccomp tabanlı daha az bilinen bir teknik kullanıyor " dedi.
"İlginçtir ki, FjordPhantom ve Snowblind Güneydoğu Asya'daki uygulamaları hedef alıyor ve güçlü yeni saldırı tekniklerinden yararlanıyor. Bu, o bölgedeki kötü amaçlı yazılım yazarlarının son derece karmaşık hale geldiğini gösteriyor."
Kötü amaçlı yazılımdaki dikkat çekici bir değişiklik, READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS ve REQUEST_INSTALL_PACKAGES gibi izinlerin artık istenmemesi; bu da tehdit aktörlerinin bunu bir arka kapıdan ziyade bir gözetleme aracı olarak kullanmayı amaçladıklarını gösteriyor.
Delamotte, "Eylül 2023 kampanyası ile mevcut kampanya arasında CapraRAT kodunda yapılan güncellemeler minimum düzeyde, ancak geliştiricilerin aracı daha güvenilir ve istikrarlı hale getirmeye odaklandıklarını gösteriyor." dedi.
"Android işletim sistemiinin daha yeni sürümlerine geçme kararıı mantıklı, büyük ihtimalle grubun, 8 yıl önce piiyasaya sürülen eski Android sürümlerini çalışttıran cihazları kullanma olasılığı düşükk olan Hindistan hükümeti veya askeri alandaki bireyleri hedef almaya devam etmesiyle örtüşüyor."
Açıklama, Promon'un, FjordPhantom'a benzer şekilde algılama yöntemlerini atlamaya ve işletim sisteminin erişilebilirlik hizmetleri API'sini gizlice kullanmaya çalışan Snowblind adlı yeni bir Android bankacılık kötü amaçlı yazılım türünü açığa çıkarmasıyla geldi.
Şirket, "Snowblind [...] normal bir yeniden paketleme saldırısı gerçekleştiriyor ancak birçok anti-kurcalama mekanizmasını aşabilen seccomp tabanlı daha az bilinen bir teknik kullanıyor " dedi.
"İlginçtir ki, FjordPhantom ve Snowblind Güneydoğu Asya'daki uygulamaları hedef alıyor ve güçlü yeni saldırı tekniklerinden yararlanıyor. Bu, o bölgedeki kötü amaçlı yazılım yazarlarının son derece karmaşık hale geldiğini gösteriyor."
Delamotte, "Eylül 2023 kampanyası ile mevcut kampanya arasında CapraRAT kodunda yapılan güncellemeler minimum düzeyde, ancak geliştiricilerin aracı daha güvenilir ve istikrarlı hale getirmeye odaklandıklarını gösteriyor." dedi.
"Android sisteminin yeni sürümlerine geçme kararı mantıklı ve büyük ihtimalle grubun, 8 yıl önce piyasaya sürülen Lollipop gibi eski Android sürümlerini çalıştıran cihazları kullanma olasılığı düşük olan Hindistan hükümeti veya askeri alandaki bireyleri hedef almaya devam etmesiyle örtüşüyor."
Bu açıklama, Promon'un Snowblind adı verilen ve FjordPhantom'a benzer şekilde işletim sisteminin erişilebilirlik hizmetleri API'sini gizlice kullanmaya çalışan yeni bir Android kötü amaçlı yazılımını ifşa etmesinin ardından geldi.
Şirket, "Snowblind [...] normal bir yeniden paketleme saldırısı gerçekleştiriyor ancak birçok anti-kurcalama mekanizmasını aşabilen seccomp tabanlı daha az bilinen bir teknik kullanıyor " dedi.
"İlginçtir ki, FjordPhantom ve Snowblind Güneydoğu Asya'daki uygulamaları hedef alıyor ve güçlü yeni saldırı tekniklerinden yararlanıyor. Bu, o bölgedeki kötü amaçlı yazılım yazarlarının son derece karmaşık hale geldiğini gösteriyor."
