ESET araştırmacıları, Transparent Tribe APT grubu tarafından yürütülen ve çoğunlukla Hintli ve Pakistanlı Android kullanıcılarının hassas bilgilerini – muhtemelen askeri veya siyasi bir yönelimle – sızdıran, trojanlaştırılmış ve sözde “güvenli” Android mesajlaşma uygulamaları aracılığıyla CapraRAT arka kapılarını dağıtan bir siber casusluk kampanyasını analiz ettiler. Kurbanlar muhtemelen, başlangıçta başka bir platformda kendileriyle iletişime geçildiği ve ardından sözde “daha güvenli” uygulamaları kullanmaya ikna edildiği ve daha sonra yüklemeleri için kandırıldıkları bir bal tuzağı aşk dolandırıcılığı yoluyla hedef alındı. ESET araştırmacıları, Hindistan ve Pakistan’ın yanı sıra Rusya, Umman ve Mısır’dan gelen 150’den fazla kurbanın coğrafi konumlarını tespit edebildi. Tehdit kampanyası büyük olasılıkla Temmuz 2022’den beri aktif.
“Kurbanlar, MeetsApp veya MeetUp uygulamasını kullanmaya ikna edildi. Şeffaf Kabile operatörleri tarafından hedeflerine karşı kullanılan bu tür bal tuzağı yemlerini daha önce gördük. Kampanyayı keşfeden ESET araştırmacısı Lukáš Štefenko, ilk iletişim kurmak için kullanabilecekleri bir cep telefonu numarası veya e-posta adresi bulmak genellikle zor değil. “Twitter’da yayınlanan farklı bir kötü amaçlı yazılım örneğini analiz ederken bu kampanyayı belirledik.”
Orijinal MeetUp ve MeetsApp uygulamalarının doğal çalışan sohbet işlevinin yanı sıra, truva atına bulaştırılmış sürümler, ESET’in CapraRAT arka kapısı olarak tanımladığı kötü amaçlı kod içerir. APT36 olarak da bilinen Transparent Tribe, CapraRAT kullandığı bilinen bir siber casusluk grubudur. Arka kapı alabilir ekran görüntüleri ve fotoğraflar, telefon görüşmelerini ve çevredeki sesleri kaydedin ve diğer tüm hassas bilgileri sızdırın. Arka kapı ayrıca dosya indirmek, arama yapmak ve SMS mesajları göndermek için komutlar alabilir. Kampanya dar bir şekilde hedeflenmiştir ve bu uygulamaların Google Play’de mevcut olduğunu gösteren hiçbir şey yoktur.
CapraRAT uzaktan kontrol edilir, komut ve kontrol sunucusundan alınan komutları yürütür. Bu uygulamaların operatörlerinin operasyonel güvenliği zayıf olduğundan, kurbanların kişisel olarak tanımlanabilir bilgileri, açık internet üzerinden araştırmacılarımıza ifşa edildi. Mağdurlar hakkında konumları gibi bilgiler elde etmek mümkün oldu.
Her iki uygulama da, uygulamaları güvenli mesajlaşma ve arama hizmetleri olarak tanımlayan iki benzer web sitesi aracılığıyla dağıtılır. Başka bir deyişle, bu uygulamaların resmi dağıtım merkezleri gibi görünüyorlar. Uygulamayı kullanmadan önce mağdurların telefon numaralarına bağlı ve SMS doğrulaması gerektiren hesaplar oluşturmaları gerekiyor. Bu hesap oluşturulduktan sonra uygulama, kişilere, arama günlüklerine, SMS mesajlarına, harici depolamaya ve ses kaydına erişim gibi arka kapının tüm işlevlerinin çalışmasına izin veren ek izinler ister.
Transparent Tribe muhtemelen kurbanları uygulamayı yüklemeye ikna etmek için aşk dolandırıcılığı tuzakları kullanıyor ve onları platformda tutmak ve cihazlarını saldırganın erişimine açmak için kötü amaçlı uygulamayı kullanarak onlarla iletişim kurmaya devam ediyor.