Transparent Tribe olarak bilinen tehdit grubu, ilgi duyduğu kişileri hedef alan sosyal mühendislik kampanyasının bir parçası olarak kötü amaçlı yazılım içeren Android uygulamaları yayınlamaya devam ediyor.
SentinelOne güvenlik araştırmacısı Alex Delamotte, The Hacker News ile paylaştığı yeni bir raporda, “Bu APK’lar, mobil oyuncuları, silah tutkunlarını ve TikTok hayranlarını hedefleyen yeni bir genişlemeyle grubun, küratörlü video tarama uygulamalarına casus yazılım yerleştirme eğilimini sürdürüyor” dedi.
CapraTube adı verilen kampanya, siber güvenlik şirketi tarafından ilk olarak Eylül 2023’te ana hatlarıyla açıklanmıştı. Saldırı ekibi, YouTube gibi meşru uygulamaları taklit eden silahlı Android uygulamalarını kullanarak, çok çeşitli hassas verileri yakalama yeteneğine sahip, AndroRAT’ın değiştirilmiş bir versiyonu olan CapraRAT adlı bir casus yazılımı yayıyordu.
Pakistan kökenli olduğundan şüphelenilen Transparent Tribe, Hindistan hükümetini ve askeri personeli hedef alan saldırılarda iki yılı aşkın süredir CapraRAT’ı kullanıyor. Grubun, çeşitli Windows ve Android casus yazılımları sunmak için hedef odaklı kimlik avı ve sulama deliği saldırılarına yönelme geçmişi var.
“Bu raporda vurgulanan etkinlik, sosyal mühendislik bahanelerinde yapılan güncellemelerle bu tekniğin devam ettiğini ve casus yazılımın Android işletim sisteminin eski sürümleriyle uyumluluğunu en üst düzeye çıkarırken saldırı yüzeyini Android’in modern sürümlerini de içerecek şekilde genişletme çabalarını gösteriyor.” Delamotte açıkladı.
SentinelOne tarafından tanımlanan yeni kötü amaçlı APK dosyalarının listesi aşağıdaki gibidir:
- Çılgın Oyun (com.maeps.crygms.tktols)
- Seksi Videolar (com.nobra.crygms.tktols)
- TikTok (com.apps.apps.apps.keyboard)
- Silahlar (com.maeps.vdosa.tktols)
CapraRAT, YouTube’a veya CrazyGames adlı mobil oyun sitesine bir URL başlatmak için WebView’ı kullanıyor[.]com, arka planda konumlara, SMS mesajlarına, kişilere ve arama kayıtlarına erişim izinlerini kötüye kullanırken; telefon görüşmesi yapmak; ekran görüntüleri alın; veya ses ve video kaydedin.
Kötü amaçlı yazılımdaki dikkat çekici bir değişiklik, READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS ve REQUEST_INSTALL_PACKAGES gibi izinlerin artık istenmemesi; bu da tehdit aktörlerinin bunu bir arka kapıdan ziyade bir gözetleme aracı olarak kullanmayı amaçladıklarını gösteriyor.
Delamotte, “Eylül 2023 kampanyası ile mevcut kampanya arasında CapraRAT kodunda yapılan güncellemeler asgari düzeyde olsa da geliştiricilerin aracı daha güvenilir ve kararlı hale getirmeye odaklandıklarını gösteriyor” dedi.
“Android işletim sisteminin daha yeni sürümlerine geçme kararı mantıklı ve büyük ihtimalle grubun, 8 yıl önce piyasaya sürülen Lollipop gibi eski Android sürümlerini çalıştıran cihazları kullanma olasılığı düşük olan Hindistan hükümeti veya askeri alandaki bireyleri hedef almaya devam etmesiyle örtüşüyor.”
Açıklama, Promon’un, FjordPhantom’a benzer şekilde algılama yöntemlerini atlamaya ve işletim sisteminin erişilebilirlik hizmetleri API’sini gizlice kullanmaya çalışan Snowblind adlı yeni bir Android bankacılık kötü amaçlı yazılım türünü açığa çıkarmasıyla geldi.
“Kar Körü […] Şirket, “normal bir yeniden paketleme saldırısı gerçekleştiriyor ancak birçok anti-kurcalama mekanizmasını aşabilen seccomp tabanlı daha az bilinen bir teknik kullanıyor” dedi.
“İlginç bir şekilde, FjordPhantom ve Snowblind Güneydoğu Asya’daki uygulamaları hedef alıyor ve güçlü yeni saldırı tekniklerinden yararlanıyor. Bu, o bölgedeki kötü amaçlı yazılım yazarlarının son derece karmaşık hale geldiğini gösteriyor.”
Delamotte, “Eylül 2023 kampanyası ile mevcut kampanya arasında CapraRAT kodunda yapılan güncellemeler minimum düzeyde, ancak geliştiricilerin aracı daha güvenilir ve istikrarlı hale getirmeye odaklandıklarını gösteriyor.” dedi.
“Android işletim sisteminin daha yeni sürümlerine geçme kararı mantıklı ve muhtemelen grubun Hindistan hükümeti veya askeri alandaki, Lollipop gibi Android’in eski sürümlerini çalıştıran cihazları kullanma olasılığı düşük olan bireyleri sürekli olarak hedeflemesiyle uyumludur. 8 yıl önce yayınlandı.”
Bu açıklama, Promon’un Snowblind adı verilen ve FjordPhantom’a benzer şekilde işletim sisteminin erişilebilirlik hizmetleri API’sini gizlice kullanmaya çalışan yeni bir Android kötü amaçlı yazılımını ifşa etmesinin ardından geldi.
“Kar körü […] Şirket, “normal bir yeniden paketleme saldırısı gerçekleştiriyor ancak birçok anti-kurcalama mekanizmasını aşabilen seccomp tabanlı daha az bilinen bir teknik kullanıyor” dedi.
“İlginçtir ki, FjordPhantom ve Snowblind Güneydoğu Asya’daki uygulamaları hedef alıyor ve güçlü yeni saldırı tekniklerinden yararlanıyor. Bu, o bölgedeki kötü amaçlı yazılım yazarlarının son derece karmaşık hale geldiğini gösteriyor.”