Transparent Tribe APT эксплуатирует тему COVID-19 для распространения шпионского ПО

Transparent Tribe APT эксплуатирует тему COVID-19 для распространения шпионского ПО

Группировка активно атакует владельцев Android-устройств в Индии, распространяя вредоносное ПО под видом популярных приложений.

image

Специализирующаяся на кибершпионаже APT-группа Transparent Tribe, о которой недавно писал SecurityLab, обзавелась новым вредоносным инструментом, предназначенным для атак на пользователей Android.

По данным специалистов «Лаборатории Касперского», в новой кампании по кибершпионажу группировка активно атакует владельцев Android-устройств в Индии, распространяя вредоносное ПО под видом популярных приложений. Первое приложение представляет собой видеоплеер, который при установке воспроизводит ролики с контентом «для взрослых». Другая программа, Aarogya Setu, имитирует мобильное приложение для отслеживания COVID-19, разработанное Национальным центром информатики при правительстве Индии.

После загрузки оба приложения пытаются установить на устройство пакет Android, содержащий модифицированную версию AhMyth Android Remote Access Tool (RAT), - трояна с открытым исходным кодом для удаленного доступа к устройству.

Как отмечается, модифицированная версия трояна обладает более «продвинутыми» функциями для кражи данных по сравнению с оригинальной, однако не предоставляет доступ к камере. В остальном функционал вредоноса включает возможность читать SMS-сообщения, просматривать журнал вызовов, манипулировать файлами на дисках, создавать скриншоты, прослушивать разговоры через встроенный микрофон и т.д. Вредонос также отслеживает местоположение зараженного устройства и загружает эту информацию на подконтрольный группировке сервер.

По словам экспертов, Transparent Tribe распространяет вредоносные приложения через определенные web-сайты, заманивая посетителей на ресурсы с помощью социальной инженерии.

Несмотря на высокую активность группировки, ее методы не отличаются сложностью. Transparent Tribe использует сравнительно простую цепочку инфицирования, включающую целевые фишинговые письма, содержащие документы со встроенным VBA кодом. Кроме того, группировка применяет вредоносное ПО с открытым исходным кодом, которое можно найти в свободном доступе, отмечают эксперты.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.