La pandemia è stata e ed è tuttora un argomento molto utilizzato dai threat actor che sfruttano tecniche di social engineering. Anche
Transparent Tribe, un threat actor che Kaspersky ha monitorato per oltre quattro anni ha sfruttato questo argomento nelle proprie campagne.
Dalle ultime scoperte è emerso che il gruppo ha lavorato al potenziamento del proprio toolset e sull'ampliamento della propria portata per raggiungere anche i dispositivi mobili. Nel corso della precedente indagine su Transparent Tribe, Kaspersky aveva individuato un nuovo impianto Android utilizzato dal threat actor per spiare i dispositivi mobili durante gli attacchi, che era stato
distribuito in India sotto forma di contenuti per adulti e finte applicazioni legittime per il tracciamento dei casi di COVID-19 a livello nazionale.
Il gruppo è stato associato alle due applicazioni grazie ai domini correlati che i criminali avevano utilizzato per ospitare file dannosi durante altre campagne.
La prima applicazione
è una versione modificata di un comune lettore video open-source per Android, che, quando viene installato, mostra un video per adulti come diversivo. La seconda applicazione infetta è stata denominata
"Aarogya Setu" ed è simile all'applicazione di mobile tracking per il COVID-19 sviluppata dal National Informatics Centre del Governo indiano, che fa capo al Ministero dell'Elettronica e dell'Informatica.
Entrambe le applicazioni, una volta scaricate, tentano di installare un altro file del pacchetto Android, una versione modificata dell'
AhMyth Android Remote Access Tool (RAT), ovvero un malware open source scaricabile da GitHub che è stato realizzato associando un payload utile dannoso ad altre applicazioni legittime.
La versione modificata del malware si differenzia da quella standard per le funzionalità. Comprende, infatti, delle feature aggiunte dagli attaccanti per migliorare l’esfiltrazione dei dati, mentre mancano alcune caratteristiche fondamentali, come ad esempio l'acquisizione di immagini dalla fotocamera.
L'applicazione è in grado di scaricare nuove applicazioni sul telefono, accedere a messaggi SMS, al microfono, ai registri delle chiamate, oltre che di tracciare la posizione del dispositivo e catalogare e caricare file dal telefono a un server esterno.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
