Los investigadores de Kaspersky encontraron una nueva aplicación de software espía para Android. Es distribuida por Transparent Tribe con apariencia de apps legítimas de contenido para adultos y aplicaciones oficiales sobre COVID-19. Esto demuestra la iniciativa del grupo para extender sus operaciones e infectar a dispositivos móviles.
Durante su investigación sobre Transparent Tribe, Kaspersky encontró un nuevo implante de Android. Es utilizado por este grupo para espiar dispositivos móviles. Fue distribuido en la India como aplicaciones pornográficas y apps de rastreo de COVID-19 falsas. La conexión entre el grupo y esas dos aplicaciones pudo ser realizada gracias a los dominios relacionados que el agente utilizó para alojar archivos maliciosos empleados en diferentes campañas.
Ambas aplicaciones, una vez descargadas, intentan instalar otro archivo de paquetes de Android. Se trata de una versión modificada de la herramienta de acceso remoto de Android AhMyth (RAT). Un malware de código abierto que se puede bajar de GitHub, y fue creado agregando una carga maliciosa dentro de otras aplicaciones legítimas.
Y la app infectada es…
La app relacionada con contenido para adultos es una versión modificada de MxVideoPlayer, también conocida como Desi-porn o Secret Player. Un sencillo reproductor de video de código abierto para Android, descargable desde GitHub y utilizado por Transparent Tribe para filtrar y ejecutar su Android RAT.
La versión modificada del software espía para Android es diferente en cuanto a funcionalidad a la versión estándar. Incluye nuevas funciones que fueron agregadas por los atacantes para mejorar la exfiltración de datos. Pero carece de algunas funciones básicas, como la de robar fotografías de la cámara. La aplicación es capaz de bajar nuevas aplicaciones al teléfono, acceder a los mensajes SMS, el micrófono y los registros de llamadas. También rastrear la ubicación del dispositivo y enumerar y subir archivos a un servidor externo desde el teléfono.
“Los nuevos hallazgos subrayan los esfuerzos de los miembros de Transparent Tribe para agregar nuevas herramientas que amplíen aún más sus operaciones y lleguen a sus víctimas a través de diferentes vectores de ataque, que ahora incluyen los dispositivos móviles. También vemos que el agente está trabajando constantemente para mejorar y modificar las herramientas que utiliza. Para mantenerse protegidos contra esas amenazas, los usuarios deben ser más cuidadosos que nunca al evaluar las fuentes de donde bajan contenido y asegurarse de que sus dispositivos estén protegidos. Esto es especialmente relevante para aquellos que saben que podrían convertirse en el objetivo de un ataque APT», comenta Giampaolo Dedola, investigador senior de seguridad en Kaspersky.
Información detallada sobre los indicadores de compromiso relacionados con este grupo, incluidos los hashes de archivos y los servidores C2, se pueden acceder en el Kaspersky Threat Intelligence Portal.
