O agente de ameaças conhecido como Clear Tribe continua a lançar aplicativos Android com malware como parte de uma campanha de engenharia social para atingir indivíduos de interesse.
“Esses APKs dão continuidade à tendência do grupo de incorporar adware em aplicativos de navegação de vídeo selecionados, com uma nova expansão voltada para jogadores de dispositivos móveis, entusiastas de armas e fãs do TikTok”, disse o pesquisador de segurança da SentinelOne, Alex Delamotte, em um novo relatório compartilhado com o The Hacker Information.
A campanha, apelidada de CapraTube, foi delineada pela primeira vez pela empresa de segurança cibernética em setembro de 2023, com a equipe de hackers empregando aplicativos Android como armas, representando aplicativos legítimos como o YouTube para entregar um adware chamado CapraRAT, uma versão modificada do AndroRAT com capacidade para capturar uma ampla gama de dados sensíveis.
A Clear Tribe, suspeita de ser de origem paquistanesa, alavancou o CapraRAT por mais de dois anos em ataques direcionados ao governo e pessoal militar indiano. O grupo tem um histórico de se inclinar para ataques de spear-phishing e watering gap para entregar uma variedade de adware para Home windows e Android.
“A atividade destacada neste relatório mostra a continuação desta técnica com atualizações nos pretextos de engenharia social, bem como esforços para maximizar a compatibilidade do adware com versões mais antigas do sistema operacional Android, ao mesmo tempo que expande a superfície de ataque para incluir versões modernas do Android”, Delamotte explicou.
A lista de novos arquivos APK maliciosos identificados pelo SentinelOne é a seguinte –
- Jogo Maluco (com.maeps.crygms.tktols)
- Vídeos sensuais (com.nobra.crygms.tktols)
- TikTok (com.apps.apps.apps.keyboard)
- Armas (com.maeps.vdosa.tktols)
O CapraRAT usa o WebView para iniciar uma URL para o YouTube ou um web site de jogos para dispositivos móveis chamado CrazyGames(.)com, enquanto, em segundo plano, ele abusa de suas permissões para acessar locais, mensagens SMS, contatos e registros de chamadas; fazer chamadas telefônicas; tirar capturas de tela; ou gravar áudio e vídeo.
Uma mudança notável no malware é que permissões como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS e REQUEST_INSTALL_PACKAGES não são mais solicitadas, sugerindo que os agentes da ameaça estão tentando usá-lo como uma ferramenta de vigilância e não como um backdoor.
“As atualizações no código CapraRAT entre a campanha de setembro de 2023 e a campanha atual são mínimas, mas sugerem que os desenvolvedores estão focados em tornar a ferramenta mais confiável e estável”, disse Delamotte.
“A decisão de migrar para versões mais recentes do sistema operacional Android é lógica e provavelmente se alinha com a segmentação sustentada do grupo de indivíduos no governo indiano ou no espaço militar, que provavelmente não usarão dispositivos que executam versões mais antigas do Android, como o Lollipop, que foi lançado há 8 anos.”
A divulgação ocorre no momento em que a Promon divulga um novo tipo de malware bancário para Android chamado Snowblind que, de maneira semelhante ao FjordPhantom, tenta contornar os métodos de detecção e fazer uso da API de serviços de acessibilidade do sistema operacional de maneira sub-reptícia.
“O Snowblind (…) realiza um ataque regular de reempacotamento, mas usa uma técnica menos conhecida baseada em seccomp que é capaz de contornar muitos mecanismos anti-adulteração”, disse a empresa.
“Curiosamente, FjordPhantom e Snowblind têm como alvo aplicativos do Sudeste Asiático e alavancam novas e poderosas técnicas de ataque. Isso parece indicar que os autores de malware naquela região se tornaram extremamente sofisticados.”
“As atualizações no código CapraRAT entre a campanha de setembro de 2023 e a campanha atual são mínimas, mas sugerem que os desenvolvedores estão focados em tornar a ferramenta mais confiável e estável”, disse Delamotte.
“A decisão de migrar para versões mais recentes do sistema operacional Android é lógica e provavelmente está alinhada com o objetivo constante do grupo de atingir indivíduos no governo indiano ou no setor militar, que provavelmente não usam dispositivos com versões mais antigas do Android, como o Lollipop, lançado há 8 anos.”
A divulgação ocorre no momento em que a Promon divulga um novo tipo de malware para Android chamado Snowblind que, de maneira semelhante ao FjordPhantom, tenta contornar os métodos de detecção e fazer uso da API de serviços de acessibilidade do sistema operacional de maneira sub-reptícia.
“O Snowblind (…) realiza um ataque de reempacotamento regular, mas usa uma técnica menos conhecida baseada no seccomp, que é capaz de ignorar muitos mecanismos anti-adulteração”, disse a empresa.
“Curiosamente, o FjordPhantom e o Snowblind têm como alvo aplicativos do Sudeste Asiático e aproveitam novas técnicas de ataque poderosas. Isso parece indicar que os autores de malware naquela região se tornaram extremamente sofisticados.”
