Spyware ameaça usuários Android
2 de Julho de 2024

O ator de ameaças conhecido como Transparent Tribe tem continuado a liberar aplicativos Android carregados de malware como parte de uma campanha de engenharia social para mirar em indivíduos de interesse.

"Esses APKs continuam a tendência do grupo de embutir spyware em aplicativos de navegação de vídeo selecionados, com uma nova expansão visando jogadores de mobile, entusiastas de armas e fãs do TikTok," disse o pesquisador de segurança da SentinelOne, Alex Delamotte, em um novo relatório compartilhado.

A campanha, apelidada de CapraTube, foi detalhada pela primeira vez pela empresa de cibersegurança em setembro de 2023, com a equipe de hackers empregando aplicativos Android armados que se passam por aplicativos legítimos como YouTube para entregar um spyware chamado CapraRAT, uma versão modificada do AndroRAT com capacidades de capturar uma ampla gama de dados sensíveis.

Transparent Tribe, suspeito de ser de origem paquistanesa, tem utilizado o CapraRAT por mais de dois anos em ataques mirando o governo e o pessoal militar da Índia.

O grupo tem um histórico de se inclinar para ataques de spear-phishing e watering hole para entregar uma variedade de spywares para Windows e Android.

"A atividade destacada neste relatório mostra a continuação dessa técnica com atualizações nos pretextos de engenharia social, bem como esforços para maximizar a compatibilidade do spyware com versões anteriores do sistema operacional Android, ao mesmo tempo em que expande a superfície de ataque para incluir versões modernas do Android," explicou Delamotte.

A lista de novos arquivos APK maliciosos identificados pela SentinelOne é a seguinte:

Crazy Game (com.maeps.crygms.tktols)
Sexy Videos (com.nobra.crygms.tktols)
TikToks (com.maeps.vdosa.tktols)
Weapons (com.maeps.vdosa.tktols)

O CapraRAT usa WebView para lançar uma URL para o YouTube ou para um site de jogos móveis chamado CrazyGames[.]com, enquanto, em segundo plano, abusa de suas permissões para acessar localizações, mensagens SMS, contatos e registros de chamadas; fazer chamadas telefônicas; tirar capturas de tela; ou gravar áudio e vídeo.

Uma mudança notável no malware é que permissões como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS e REQUEST_INSTALL_PACKAGES não são mais solicitadas, sugerindo que os atores de ameaças visam usá-lo como uma ferramenta de vigilância mais do que um backdoor.

"As atualizações no código do CapraRAT entre a campanha de setembro de 2023 e a campanha atual são mínimas, mas sugerem que os desenvolvedores estão focados em tornar a ferramenta mais confiável e estável," disse Delamotte.

A decisão de passar para versões mais recentes do sistema operacional Android é lógica e provavelmente alinha-se com o direcionamento contínuo do grupo a indivíduos no espaço governamental ou militar indiano, que são improváveis de usar dispositivos rodando versões antigas do Android, como o Lollipop, que foi lançado há 8 anos.

A divulgação ocorre enquanto a Promon revelou um novo tipo de malware bancário para Android chamado Snowblind que, de maneiras semelhantes ao FjordPhantom, tenta contornar métodos de detecção e fazer uso da API de serviços de acessibilidade do sistema operacional de maneira furtiva.

Ao usar a funcionalidade seccomp para interceptar e manipular chamadas de sistema, não apenas permite que o malware comprometa verificações de segurança e passe despercebido, mas também roube credenciais, exporte dados e desabilite recursos como autenticação de dois fatores (2FA) ou verificação biométrica.

"Snowblind [...] realiza um ataque de reempacotamento normal, mas usa uma técnica menos conhecida baseada em seccomp que é capaz de contornar muitos mecanismos anti-tampering," disse a empresa.

Interessantemente, FjordPhantom e Snowblind visam aplicativos do Sudeste Asiático e aproveitam técnicas de ataque poderosas e novas.

Isso parece indicar que os autores de malware nessa região se tornaram extremamente sofisticados.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...