Hackerská skupina Transparent Tribe šíri spyware cez falošné aplikácie. Týmto aplikáciám sa radšej vyhni
Bezpečnostní experti pozorujú prebudenie CapraRAT malvéru, ktorý sa šíri cez falošné aplikácie. Na tieto si dávaj pozor.
Bezpečnostní experti zo Sentinel Labs odhalili novú spyware kampaň známej hackerskej skupiny, ktorá cieli na hráčov a milovníkov zbraní.
Za útokmi stojí hackerská skupina Transparent Tribe. Tá bola aktívnou minimálne od roku 2016 a má väzby na pakistanskú vládu. Svoje malvérové operácie začala skupina útokmi na vládne a vojenské ciele. Ako vysvetľujú bezpečnostní experti, skupina sa výrazne spolieha na sociálne inžinierstvo a malvér šíri najčastejšie na platformách Windows a Android.
Vo väčšine prípadov šíria spyware, teda špionážny škodlivý softvér. Bezpečnostní analytici v septembri 2023 identifikovali kampaň CapraTube. Hackeri z Transparent Tribe vytvorili niekoľko falošných aplikácií, ktoré mali napodobňovať YouTube. Rovnakú metódu útoku pozorovali analytici aj v nových prípadoch.
“Výsledky našej analýzy poukazujú na to, že hackeri z Transparent Tribe pokračujú v rovnakej metóde útoku, no vylepšili svoje manipulačné metódy. Zároveň sme si všimli aj to, že hackeri zvýšili kompatibilitu svojho spywaru so staršími verziami Androidu,” vysvetľujú bezpečnostní experti zo Sentinel Labs.
Daj si pozor na tieto aplikácie
Nové verzie CapraRAT malvéru používajú WebView na spustenie URL adresy, ktorá užívateľov zavedie buď na YouTube alebo na stránku mobilnej hry. Okrem toho bezpečnostní experti pozorovali aj štyri falošné aplikácie Crazy Game, Sexy Videos, TikToks a Weapons.
Spyware CapraRAT získava prístup k posielaniu SMS správ, vykonávaniu hovorov, pristupuje ku kontaktom a nahráva audio a video. Predchádzajúce útoky pracovali s aplikáciou Piya Sharma, ktorá sa podľa názoru bezpečnostných analytikov používala v romantickom kontexte.
Neprehliadni
Priebeh útoku
Keď obeť stiahne do zariadenia Crazy Game aplikáciu, tá si pri prvom spustení vypýta povolenie k čítaniu polohy, čítaniu a posielaniu SMS, kontaktom, nahrávaniu zvuku a obrazovky, čítaniu uložených súborov, používaniu fotoaparátu a sledovaniu histórie hovorom a telefonátom.
Po otvorení aplikácie sa užívateľ dostáva na webovú stránku s rôznymi digitálnymi hrami. Táto stránka je mimoriadne náročná na výkon, preto nebola kompatibilná so staršími Android zariadeniami.
Bezpečnostní experti si všimli, že nové verzie aplikácií s CapraRAT malvérom fungujú aj na starších zariadeniach Android 8.0. Predchádzajúce verzie bežali len na Android 5.1. Na novších verziách, Android 13 a Android 14 bežia falošné aplikácie bezproblémovo.
Ako sme už spomenuli, po prvom otvorení si aplikácia vypýta prístup k množstvu citlivých funkcií, čo prezrádza, že ide o spyware. Zaujímavé je ale to, že aj keď povolenia neudelíš, aplikácia sa stále spustí a funguje ako by mala. Bezpečnostní experti poukazujú na to, že hackeri môžu mať stále problém s úspešnou implementáciou ich spywaru.
Ak ale obeť útoku povolenia udelí, spyware získava úplnú kontrolu nad zariadením. Malvér zároveň zbiera obrovské množstvo dát, ktoré posiela hackerskej skupine na C2 servery.
“Aktualizácie kódu CapraRAT malvéru používaného v septembri 2023 a novou kampaňou sú minimálne. Zo zmien ale vieme vyčítať, že sa hackerská skupina pokúša urobiť svoj spyware spoľahlivejší a stabilnejší. Hackeri zároveň vylepšili stabilitu hlavne na novších verziách Androidu. Keďže Transparent Tribe útočia hlavne na dôležité vládne a vojenské ciele, môžeme predpokladať, že v týchto oblastiach budú mať potenciálne obete novšie zariadenia,” tvrdia bezpečnostní experti.
Pozor na podvodné aplikácie
Hackeri zároveň vylepšujú aj svoje metódy sociálneho inžinierstva, cez ktoré môžu zasiahnuť širšiu užívateľskú základňu. Predchádzajúce falošné aplikácie sa zameriavali skôr na ľudí, ktorí používajú online zoznamky. Nové aplikácie cielia viac na hráčov a milovníkov zbraní.
Bezpečnostní experti radia, že pri inštalovaní novej aplikácie si vždy skontroluj, aké povolenia od teba aplikácia pýta. Je prirodzené, že mapy chcú vedieť tvoju polohu alebo četovacie aplikácie chcú prístup k tvojim kontaktom, fotoaparátu alebo mikrofónu. Pozor však na aplikácie, ktoré nepoužívajú žiadne funkcie fotoaparátu, no napriek tomu k nemu žiadajú prístup. Existuje šanca, že fotoaparát používajú za tvojim chrbtom.
Komentáre