01 de julio de 2024Sala de prensaSeguridad móvil/spyware El actor de amenazas conocido como Transparent Tribe ha seguido desatando aplicaciones de Android con malware como parte de una campaña de ingeniería social dirigida a personas de interés. «Estos APK continúan la tendencia del grupo de incorporar software espía en aplicaciones de navegación de videos seleccionadas, con una nueva expansión dirigida a jugadores móviles, entusiastas de las armas y fanáticos de TikTok», dijo el investigador de seguridad de SentinelOne, Alex Delamotte, en un nuevo informe compartido con The Hacker News. La campaña, denominada CapraTube, fue descrita por primera vez por la empresa de ciberseguridad en septiembre de 2023, y el equipo de piratas informáticos empleó aplicaciones de Android armadas que se hacían pasar por aplicaciones legítimas como YouTube para entregar un software espía llamado CapraRAT, una versión modificada de AndroRAT con capacidades para capturar una amplia gama de informacion delicada. La Tribu Transparente, que se sospecha es de origen paquistaní, ha aprovechado CapraRAT durante más de dos años en ataques contra el gobierno y el personal militar de la India. El grupo tiene un historial de recurrir al phishing y a los ataques de abrevadero para entregar una variedad de software espía para Windows y Android. «La actividad destacada en este informe muestra la continuación de esta técnica con actualizaciones de los pretextos de ingeniería social, así como esfuerzos para maximizar la compatibilidad del software espía con versiones anteriores del sistema operativo Android mientras se expande la superficie de ataque para incluir versiones modernas de Android». explicó Delamotte. La lista de nuevos archivos APK maliciosos identificados por SentinelOne es la siguiente: Crazy Game (com.maeps.crygms.tktols) Sexy Videos (com.nobra.crygms.tktols) TikToks (com.maeps.vdosa.tktols) Weapons (com. maeps.vdosa.tktols) CapraRAT utiliza WebView para iniciar una URL a YouTube o a un sitio de juegos móviles llamado CrazyGames[.]com, mientras que, en segundo plano, abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; hacer llamadas telefónicas; tomar capturas de pantalla; o grabar audio y vídeo. Un cambio notable en el malware es que permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS y ​​REQUEST_INSTALL_PACKAGES ya no se solicitan, lo que sugiere que los actores de amenazas pretenden utilizarlo como una herramienta de vigilancia y no como una puerta trasera. «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable», dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinea con el objetivo sostenido del grupo de individuos en el gobierno indio o en el espacio militar, que probablemente no utilicen dispositivos que ejecuten versiones anteriores de Android, como Lollipop, que fue lanzado hace 8 años.» La divulgación se produce cuando Promon reveló un nuevo tipo de malware bancario para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de manera subrepticia. «Ciego de nieve […] realiza un ataque de reempaquetado normal, pero utiliza una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos anti-manipulación», dijo la compañía. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y aprovechan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable. » Dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinee con el objetivo sostenido del grupo de personas en el gobierno indio o en el espacio militar, que es poco probable que utilicen dispositivos que ejecutan versiones anteriores de Android, como como Lollipop, que se lanzó hace 8 años». La divulgación se produce cuando Promon reveló un nuevo tipo de malware para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de forma subrepticia. manera. […] «FjordPhantom y Snowblind realizan un ataque de reempaquetado normal, pero utilizan una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos antimanipulación», afirmó la empresa. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y utilizan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.