Transparent Tribe olarak bilinen Pakistan bağlantılı olduğundan şüphelenilen bir gelişmiş kalıcı tehdit (APT) grubu, Hint ve Pakistanlı Android kullanıcılarını hedef alan bir arka kapıyla devam eden bir siber casusluk kampanyasıyla ilişkilendirildi. Keçi.
The Hacker News ile paylaşılan bir raporda ESET, “Transparent Tribe, MeetsApp ve MeetUp markalı truva atı haline getirilmiş güvenli mesajlaşma ve arama uygulamaları aracılığıyla Android CapraRAT arka kapısını dağıttı” dedi.
Muhtemelen askeri veya siyasi eğilimleri olan 150 kadar kurbanın, bu uygulamaların resmi dağıtım merkezleri gibi görünen sahte web sitelerinden indirilebilen kötü amaçlı yazılım (com.meetup.app) ile hedef alındığı tahmin ediliyor.
Hedeflerin, tehdit aktörünün kurbanlara başka bir platform aracılığıyla yaklaştığı ve onları “güvenli” mesajlaşma ve arama bahanesiyle kötü amaçlı yazılım içeren uygulamaları yüklemeye ikna ettiği bir bal tuzağı aşk dolandırıcılığı yoluyla çekildiğinden şüpheleniliyor.
Ancak uygulamalar, vaat edilen işlevselliği sunmanın yanı sıra, ilk olarak Şubat 2022’de Trend Micro tarafından belgelenen ve CrimsonRAT olarak bilinen bir Windows kötü amaçlı yazılımıyla örtüşen açık kaynak AndroRAT’ın değiştirilmiş bir sürümü olan CapraRAT ile birlikte gelir.
Arka kapı, ekran görüntüleri ve fotoğraflar çekmesine, telefon görüşmelerini ve çevredeki sesleri kaydetmesine ve diğer hassas bilgileri dışarı sızdırmasına olanak tanıyan kapsamlı bir dizi özellikle doludur. Ayrıca arama yapabilir, SMS mesajları gönderebilir ve dosyaları indirmek için komutlar alabilir.
Bununla birlikte, kullanıcıların ayrıca, uygulamanın işlevlerine erişmek için telefon numaralarını birbirine bağlayarak ve bir SMS doğrulama adımını tamamlayarak bir hesap oluşturmaları gerekmektedir.
En Son Kötü Amaçlı Yazılım Kaçırma Taktiklerini ve Önleme Stratejilerini Keşfedin
Dosya tabanlı saldırılarla ilgili en tehlikeli 9 efsaneyi yıkmaya hazır mısınız? Yaklaşan web seminerimize katılın ve hasta sıfır enfeksiyonlarına ve sıfır gün güvenlik olaylarına karşı mücadelede bir kahraman olun!
KOLTUĞUNUZU AYIRTIN
Slovak siber güvenlik şirketi, kampanyanın çok dar bir şekilde hedeflendiğini ve uygulamaların Google Play Store’da mevcut olduğuna dair hiçbir kanıt bulamadığını belirtti.
APT36, C-Major Operasyonu ve Mythic Leopard olarak da anılan Transparent Tribe, yakın zamanda, Kavach adlı iki faktörlü bir kimlik doğrulama çözümünün kötü amaçlı sürümleriyle Hindistan hükümet kuruluşlarını hedef alan başka bir dizi saldırıyla ilişkilendirildi.
Bulgular, siber güvenlik firması ThreatMon’un, ReverseRAT olarak bilinen bir arka kapının güncellenmiş bir sürümünü konuşlandırmak amacıyla Hindistan devlet kurumlarını hedef alan SideCopy aktörleri tarafından gerçekleştirilen bir mızraklı kimlik avı kampanyasını detaylandırmasından haftalar sonra da geldi.