Swoje ustalenia dotyczące nowej aplikacji szpiegującej dla systemu Android zaprezentowali badacze z firmy Kaspersky. Szkodnik rozsyłany jest przez cybergang Transparent Tribe w Indiach, pod przykrywką oficjalnych aplikacji monitorujących rozprzestrzenianie się COVID-19 oraz treści dla dorosłych.
Ygrupowanie Transparent Tribe próbuje rozszerzyć zakres swoich operacji. Pandemia wciąż jest tematem wykorzystywanym przez cyberprzestępców, stosujących socjotechnikę. Na nim żeruje także Transparent Tribe – ugrupowanie cyberprzestępcze, które jest monitorowane ponad 4 lata przez firmę Kaspersky.
Najnowsze badania pokazują, że ugrupowanie pracuje bardzo intensywnie nad udoskonalaniem swojego zestawu narzędzi i rozszerzaniem zasięgu ataków na urządzenia mobilne. W wyniku wcześniejszego dochodzenia dotyczącego Transparent Tribe badacze z firmy Kaspersky wykryli nowy implant dla systemu Android, który jest wykorzystywany przez cybergang w dwóch wersjach, do szpiegowania urządzeń przenośnych.
Pierwsza aplikacja jest zmodyfikowaną wersją prostego, ogólnodostępnego odtwarzacza wideo dla systemu Android, który po zainstalowaniu wyświetla film dla dorosłych, by zmylić użytkownika. Następna nazwę mobilnej aplikacji do monitorowania rozprzestrzeniania się COVID-19 nazywa się „Aarogya Setu” i przypomina nazwę mobilnej aplikacji do monitorowania rozprzestrzeniania się COVID-19, która została opracowana przez Krajowe Centrum Informatyki indyjskiego rządu podlegającego Ministerstwu ds. Elektroniki oraz Technologii Informatycznych.
Obie aplikacje po pobraniu próbują zainstalować na smartfonie, zmodyfikowaną wersję szkodliwego narzędzia zdalnej administracji AhMyth. Modyfikacja szkodnika różni się od oryginału funkcjonalnością. Zawiera nowe funkcje dodane przez członków gangu Transparent Tribe w celu udoskonalenia możliwości związanych z wyprowadzaniem skradzionych danych, jednak brakuje w niej niektórych podstawowych funkcji, takich jak gromadzenie zdjęć z aparatu smartfonu. Aplikacja potrafi pobierać na telefon nowe programy, uzyskiwać dostęp do wiadomości SMS, mikrofonu, historii połączeń, śledzić lokalizację urządzenia oraz przesyłać pliki z telefonu do zewnętrznego serwera.
Nowe ustalenia wskazują na próby dodawania przez członków ugrupowania Transparent Tribe do swojego arsenału kolejnych narzędzi, które pozwalają rozszerzyć zakres operacji i atakować ofiary za pośrednictwem różnych wektorów, wśród których obecnie znajdują się także urządzenia przenośne. Można również zaobserwować, że ugrupowanie to nieustannie pracuje nad udoskonalaniem i modyfikowaniem wykorzystywanych narzędzi. Aby zabezpieczyć się przed takimi zagrożeniami, użytkownicy muszą zwracać jeszcze większą uwagę na źródła, z których pobierają treści, oraz dbać o to, aby ich urządzenia były należycie zabezpieczone. Dotyczy to szczególnie tych osób, które – na przykład z racji wykonywanej pracy – mogą być na celowniku zaawansowanych ugrupowań cyberprzestępczych – powiedział Giampaolo Dedola, starszy badacz ds. cyberbezpieczeństwa w Globalnym Zespole ds. Badań i Analiz (GReAT) firmy Kaspersky.
Szczegółowe informacje dot. wskaźników infekcji (IoC) związanych z tym ugrupowaniem są dostępne w serwisie Kaspersky Threat Intelligence Portal. Więcej informacji na temat opisywanego zagrożenia są dostępne na stronie https://r.kaspersky.pl/KywvW.
źródło: newsrm. tv