Relatório técnico da Kaspersky sobre um novo programa espião criado pela Transparent Tribe, um grupo ativo especializado em ameaças avançadas (APTs), que disfarçava o malware de aplicativos com conteúdo adulto e apps oficiais relacionados à Covid-19. De acordo com as conclusões da empresa, tal iniciativa demonstra a movimentação do grupo para ampliar operações e infectar dispositivos móveis.
De acordo com o relatório, a pandemia tornou-se um assunto muito explorado pelos grupos especializados, que criam ataques baseados em engenharia social. E esta foi a técnica que a Transparent Tribe, grupo monitorado pela Kaspersky há mais de quatro anos, passou a adotar em suas campanhas. Descobertas recentes mostram que ele tem trabalhado ativamente para melhorar seu conjunto de ferramentas e expandir seu alcance para incluir ameaças para dispositivos móveis.
Durante sua investigação sobre as atividades da Transparent Tribe, a Kaspersky encontrou um novo malware para Android criado pelo grupo para espionar dispositivos móveis e distribuído na Índia como um falso app para rastreamento da Covid-19, ou de conteúdo pornográfico. A associação entre o grupo e os dois aplicativos foi feita graças aos domínios que eles usavam para hospedar os arquivos maliciosos das diferentes campanhas.
O primeiro app é uma versão modificada de um player de vídeo simples de código aberto para Android que, ao ser instalado, exibe um vídeo com conteúdo adulto como distração. O segundo é chamado de “Aarogya Setu”, um nome semelhante ao do app de rastreamento da Covid-19 desenvolvido pelo centro nacional de informática do governo da Índia, subordinado ao Ministério da Tecnologia da Informação e Eletrônica.
Ambos, depois de baixados, tentam instalar outro pacote de arquivos Android, uma versão modificada das ferramentas de acesso remoto (RAT) para Android AhMyth, um malware de código aberto que pode ser baixado no GitHub, criado vinculando uma carga maliciosa dentro de outros aplicativos legítimos.
A funcionalidade da versão modificada do malware é diferente da versão padrão. Ela inclui novos recursos criados pelos hackers para melhorar a extração de dados e faltam alguns recursos centrais anteriores, como o roubo de fotos da câmera. O aplicativo é capaz de baixar novos aplicativos no celular, acessar mensagens SMS, microfone, registros de chamadas, rastrear a localização do dispositivo, além de listar e carregar arquivos em um servidor externo a partir do celular.
Proteção
Para se proteger deste ataque, a Kaspersky recomenda adotar as seguintes medidas de segurança:
- Dê à equipe do centro operacional de segurança (SOC) acesso a relatórios de inteligência recentes
- Verifique se a sua solução de segurança oferece proteção para dispositivos móveis.
- Garanta que seus funcionários conheçam os princípios básicos da segurança de dispositivos móveis oferecendo um curso de conscientização sobre segurança que abranja esses tópicos.
Para obter mais detalhes das constatações relacionadas à Transparent Tribe, veja o relatório completo em Securelist .(Com assessoria de imprensa)
No Comment