La amenaza conocida como Transparent Tribe ha lanzado una serie de aplicaciones maliciosas para Android como parte de una campaña de ingeniería social dirigida a individuos de interés. Estas aplicaciones, disfrazadas como populares apps de video y juegos, contienen un spyware denominado CapraRAT, diseñado para capturar una amplia gama de datos sensibles.
Un Nuevo Ataque
Según un informe reciente compartido con The Hacker News por Alex Delamotte, investigador de seguridad de SentinelOne, esta campaña, denominada CapraTube, utiliza aplicaciones de Android armadas que se hacen pasar por aplicaciones legítimas como YouTube para distribuir el spyware CapraRAT. Este spyware es una versión modificada de AndroRAT y ha sido utilizado durante más de dos años por Transparent Tribe, un grupo sospechado de tener origen en Pakistán, en ataques dirigidos al gobierno y personal militar de India.
Objetivos y Métodos
La campaña actual se centra en aplicaciones que atraen a jugadores móviles, entusiastas de las armas y seguidores de TikTok. Las aplicaciones maliciosas identificadas por SentinelOne incluyen:
- Crazy Game (com.maeps.crygms.tktols)
- Sexy Videos (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Weapons (com.maeps.vdosa.tktols)
CapraRAT utiliza WebView para lanzar URLs a YouTube o a un sitio de juegos móviles llamado CrazyGames[.]com, mientras, en segundo plano, abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; realizar llamadas telefónicas; tomar capturas de pantalla; o grabar audio y video.
Evolución del Malware
Un cambio notable en el malware es que ya no solicita permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, y REQUEST_INSTALL_PACKAGES. Esto sugiere que los actores de amenaza están apuntando a usarlo más como una herramienta de vigilancia que como una puerta trasera.
«Las actualizaciones del código de CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores están enfocados en hacer que la herramienta sea más confiable y estable», explicó Delamotte. «La decisión de moverse a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinea con el objetivo sostenido del grupo de individuos en el gobierno o el espacio militar de India, que es poco probable que utilicen dispositivos con versiones antiguas de Android, como Lollipop, lanzada hace 8 años».
Amenazas Emergentes
La revelación de CapraRAT llega en un momento en que Promon ha descubierto un nuevo tipo de malware bancario para Android llamado Snowblind. Similar a FjordPhantom, Snowblind intenta evadir los métodos de detección utilizando la API de servicios de accesibilidad del sistema operativo de manera subrepticia.
Usando la funcionalidad seccomp para interceptar y manipular llamadas del sistema, Snowblind no solo permite al malware eludir los controles de seguridad, sino también robar credenciales, exportar datos y desactivar funciones como la autenticación de dos factores (2FA) o la verificación biométrica.
«Snowblind realiza un ataque de reempaquetado normal, pero utiliza una técnica poco conocida basada en seccomp que es capaz de eludir muchos mecanismos de anti-manipulación», dijo la compañía.
Conclusión
El uso de técnicas avanzadas por parte de autores de malware en regiones como el sudeste asiático indica un alto grado de sofisticación en las amenazas emergentes. La campaña CapraTube y la aparición de malware como Snowblind subrayan la necesidad continua de medidas robustas de seguridad y vigilancia para proteger a los usuarios de Android de estas crecientes amenazas.
Los usuarios de Android deben mantenerse alerta, descargar aplicaciones solo de fuentes confiables y revisar los permisos que solicitan las aplicaciones para minimizar el riesgo de infección por spyware y otros tipos de malware.
vía: the Hacker news