MILANO – I ricercatori di Kaspersky hanno presentato le loro scoperte su una nuova applicazione spyware per Android distribuita da Transparent Tribe, un prolifico gruppo APT, in India sotto forma di contenuti per adulti e applicazioni legittime sul COVID-19. Il gruppo mirava a estendere la portata delle proprie operazioni e ad infettare i dispositivi mobili. Questi e altri risultati sono stati resi noti durante la seconda fase di un’indagine su questo threat actor.
La pandemia è stata e ed è tuttora un argomento molto utilizzato dai threat actor che sfruttano tecniche di social engineering. Anche Transparent Tribe, un threat actor che Kaspersky ha monitorato per oltre quattro anni ha sfruttato questo argomento nelle proprie campagne.
Dalle ultime scoperte è emerso che il gruppo ha lavorato al potenziamento del proprio toolset e sull’ampliamento della propria portata per raggiungere anche i dispositivi mobili. Nel corso della precedente indagine su Transparent Tribe, Kaspersky aveva individuato un nuovo impianto Android utilizzato dal threat actor per spiare i dispositivi mobili durante gli attacchi, che era stato distribuito in India sotto forma di contenuti per adulti e finte applicazioni legittime per il tracciamento dei casi di COVID-19 a livello nazionale. Il gruppo è stato associato alle due applicazioni grazie ai domini correlati che i criminali avevano utilizzato per ospitare file dannosi durante altre campagne.
La prima applicazione è una versione modificata di un comune lettore video open-source per Android, che, quando viene installato, mostra un video per adulti come diversivo. La seconda applicazione infetta è stata denominata “Aarogya Setu” ed è simile all’applicazione di mobile tracking per il COVID-19 sviluppata dal National Informatics Centre del Governo indiano, che fa capo al Ministero dell’Elettronica e dell’Informatica.
Entrambe le applicazioni, una volta scaricate, tentano di installare un altro file del pacchetto Android, una versione modificata dell’AhMyth Android Remote Access Tool (RAT), ovvero un malware open source scaricabile da GitHub che è stato realizzato associando un payload utile dannoso ad altre applicazioni legittime.
La versione modificata del malware si differenzia da quella standard per le funzionalità. Comprende, infatti, delle feature aggiunte dagli attaccanti per migliorare l’esfiltrazione dei dati, mentre mancano alcune caratteristiche fondamentali, come ad esempio l’acquisizione di immagini dalla fotocamera. L’applicazione è in grado di scaricare nuove applicazioni sul telefono, accedere a messaggi SMS, al microfono, ai registri delle chiamate, oltre che di tracciare la posizione del dispositivo e catalogare e caricare file dal telefono a un server esterno.
Il senior security researcher del Global Research and Analysis Team di Kaspersky
“Le ultime scoperte dimostrano come il gruppo Transparent Tribe si sia impegnato per aggiungere nuovi tool allo scopo di ampliare ulteriormente la portata delle loro operazioni e raggiungere le vittime attraverso nuovi vettori di attacco, che ora comprendono anche i dispositivi mobili. Abbiamo inoltre osservato che il gruppo potenzia e modifica costantemente gli strumenti a sua disposizione. Per proteggersi da queste minacce, gli utenti dovrebbero verificare attentamente le fonti da cui scaricano i contenuti e assicurarsi che i loro dispositivi siano protetti. Questo è una raccomandazione particolarmente importante per chi sa di poter diventare il bersaglio di un attacco APT”, ha dichiarato Giampaolo Dedola, senior security researcher del Global Research and Analysis Team di Kaspersky.
