De kwaadwillende actor die bekendstaat als Transparent Tribe blijft Android-apps met malware verspreiden als onderdeel van een social engineering-campagne die zich richt op bepaalde personen.
“Deze APK’s zetten de trend van de groep voort om spyware in te sluiten in samengestelde video-browsing-applicaties, met een nieuwe uitbreiding gericht op mobiele gamers, wapenliefhebbers en TikTok-fans”, zei SentinelOne-beveiligingsonderzoeker Alex Delamotte in een nieuw rapport gedeeld met The Hacker News.
De campagne, genaamd CapraTube, werd voor het eerst gelanceerd door het cyberbeveiligingsbedrijf in september 2023, waarbij de hackploeg bewapende Android-apps gebruikte die zich voordeden als legitieme apps zoals YouTube om een spyware te leveren met de naam CapraRAT, een aangepaste versie van AndroRAT met mogelijkheden om een breed scala aan gevoelige data.
Transparent Tribe, waarvan wordt vermoed dat het van Pakistaanse origine is, heeft CapraRAT meer dan twee jaar lang ingezet bij aanvallen op de Indiase overheid en militair personeel. De groep heeft een geschiedenis van het inzetten van spear-phishing en watering hole-aanvallen om een verscheidenheid aan Windows- en Android-spyware te verspreiden.
“De activiteiten die in dit rapport worden belicht, laten zien dat deze techniek wordt voortgezet met updates van de voorwendsels voor social engineering en met pogingen om de compatibiliteit van de spyware met oudere versies van het Android-besturingssysteem te maximaliseren en tegelijkertijd het aanvalsoppervlak uit te breiden naar moderne versies van Android”, aldus Delamotte.
De lijst met nieuwe schadelijke APK-bestanden die door SentinelOne zijn geïdentificeerd, is als volgt:
- Gek spel (com.maeps.crygms.tktols)
- Sexy video’s (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Wapens (com.maeps.vdosa.tktols)
CapraRAT gebruikt WebView om een URL te lanceren naar YouTube of een mobiele gamingsite met de naam CrazyGames(.)com, terwijl het op de achtergrond misbruik maakt van de machtigingen om toegang te krijgen tot locaties, sms-berichten, contacten en oproeplogboeken; telefoongesprekken te voeren; schermafbeeldingen te maken; of audio en video op te nemen.
Een opvallende verandering aan de malware is dat machtigingen zoals READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS en REQUEST_INSTALL_PACKAGES niet langer worden gevraagd. Dit suggereert dat de kwaadwillenden de malware willen gebruiken als een bewakingstool en niet als een achterdeurtje.
“De updates van de CapraRAT-code tussen de campagne van september 2023 en de huidige campagne zijn minimaal, maar suggereren dat de ontwikkelaars zich richten op het betrouwbaarder en stabieler maken van de tool”, aldus Delamotte.
“De beslissing om over te stappen op nieuwere versies van het Android-besturingssysteem is logisch en komt waarschijnlijk overeen met de aanhoudende targeting van de groep op individuen in de Indiase regering of militaire ruimte, die waarschijnlijk geen apparaten zullen gebruiken die oudere versies van Android draaien, zoals Lollipop, dat 8 jaar geleden uitgebracht.”
De onthulling volgt op de bekendmaking van een nieuw type Android-bankingmalware genaamd Snowblind. Deze malware probeert, op een vergelijkbare manier als FjordPhantom, detectiemethoden te omzeilen en op heimelijke wijze gebruik te maken van de toegankelijkheids-API van het besturingssysteem.
“Snowblind (…) voert een normale herverpakkingsaanval uit, maar gebruikt een minder bekende techniek gebaseerd op seccomp die in staat is om veel anti-manipulatiemechanismen te omzeilen”, aldus het bedrijf.
“Interessant genoeg richten FjordPhantom en Snowblind zich op apps uit Zuidoost-Azië en maken ze gebruik van krachtige nieuwe aanvalstechnieken. Dat lijkt erop te wijzen dat malware-auteurs in die regio extreem geavanceerd zijn geworden.”
“De updates van de CapraRAT-code tussen de campagne van september 2023 en de huidige campagne zijn minimaal, maar suggereren dat de ontwikkelaars zich richten op het betrouwbaarder en stabieler maken van de tool”, aldus Delamotte.
“De beslissing om over te stappen op nieuwere versies van het Android-besturingssysteem is logisch en komt waarschijnlijk overeen met de aanhoudende targeting van de groep op individuen in de Indiase regering of militaire ruimte, die waarschijnlijk geen apparaten zullen gebruiken die oudere versies van Android draaien, zoals Lollipop, dat 8 jaar geleden uitgebracht.”
De onthulling komt op het moment dat Promon een nieuw type Android-malware bekendmaakte, genaamd Snowblind, dat, op vergelijkbare wijze als FjordPhantom, detectiemethoden probeert te omzeilen en op een heimelijke manier gebruik maakt van de toegankelijkheidsservices-API van het besturingssysteem.
“Snowblind (…) voert een normale herverpakkingsaanval uit, maar gebruikt een minder bekende techniek gebaseerd op seccomp die in staat is veel anti-manipulatiemechanismen te omzeilen”, aldus het bedrijf.
“Interessant is dat FjordPhantom en Snowblind zich richten op apps uit Zuidoost-Azië en krachtige nieuwe aanvalstechnieken gebruiken. Dat lijkt erop te wijzen dat malware-auteurs in die regio extreem geavanceerd zijn geworden.”
