As recentes descobertas revelam que o grupo tem estado a trabalhar ativamente na melhoria das suas ferramentas e do seu alcance para incluir ameaças em dispositivos móveis. Durante a investigação sobre o Transparent Tribe, a Kaspersky encontrou um implante de Android utilizado para espiar dispositivos móveis nos ataques que difundiu na Índia, servindo-se de aplicações falsas de rastreio à COVID-19 e de pornografia. A ligação entre o grupo e as duas aplicações foi feita através de domínios relacionados que o grupo utilizava para alojar ficheiros maliciosos para diferentes campanhas.
A primeira aplicação é uma versão modificada de um simples leitor de vídeo de código aberto para Android que, quando instalado, exibe um vídeo para adultos como distração. A segunda aplicação infetada chama-se "Aarogya Setu", semelhante à aplicação móvel para rastreio da COVID-19, desenvolvida pelo Centro Nacional de Informática do Governo da Índia, que faz parte do Ministério da Eletrónica e das Tecnologias de Informação.
Assim que são descarregadas, as aplicações tentam instalar outro ficheiro Android - uma versão modificada da Ferramenta de Acesso Remoto do Android (RAT) AhMyth - um malware de código aberto descarregável a partir do GitHub, que foi construído ao ligar uma carga útil maliciosa a outras aplicações legítimas.
A versão modificada do malware apresenta funcionalidades diferentes da da standard. Inclui novas características adicionadas pelos hackers para melhorar a exfiltração de dados, tais como o roubo de imagens da câmara. A aplicação é capaz de descarregar novas aplicações para o telefone, aceder a mensagens SMS, ao microfone, ao registo de chamadas, localização do dispositivo, e listar e carregar ficheiros para um servidor externo a partir do telefone.
"As novas descobertas destacam o que os membros do Transparent Tribe têm feito para acrescentar novas ferramentas que permitam expandir ainda mais as suas operações e chegar às vítimas através de diferentes vetores de ataque, que agora incluem dispositivos móveis. Vemos também que o grupo está constantemente a trabalhar para melhorar e modificar as ferramentas que utiliza. Para permanecerem protegidos contra estas ameaças, os utilizadores devem ser mais cuidadosos do que nunca ao avaliar as fontes a partir das quais descarregam conteúdos e assegurar-se de que os seus dispositivos estão seguros. Isto é especialmente relevante para aqueles que sabem que podem ser alvo de um ataque APT", comenta Giampaolo Dedola, Investigador Sénior de Segurança da Equipa Global de Investigação e Análise da Kaspersky.
Mais informação detalhada sobre os indicadores de compromisso relacionados com este grupo, incluindo hashes de ficheiros e servidores C2, pode ser consultada no Portal de Inteligência de Ameaças da Kaspersky.
Para se proteger desta ameaça, a Kaspersky recomenda que sejam tomadas as seguintes medidas de segurança:
- Proporcionar à equipa SOC acesso às últimas informações sobre ameaças. O Portal de Inteligência de Ameaças é um ponto de acesso único da equipa de IT da empresa, fornecendo dados sobre ciberataques e informações recolhidas pela Kaspersky durante mais de 20 anos.
- Assegurar que a sua solução de segurança de endpoint fornece proteção para dispositivos móveis. A solução Kaspersky Endpoint Security for Business garante proteção contra malware móvel e assegura que apenas aplicações de confiança podem ser utilizadas em dispositivos corporativos.
- Certificar que os colaboradores conhecem os princípios básicos de segurança de dispositivos móveis, através da implementação de um curso de formação e sensibilização de segurança que cobre estes tópicos, tais como o Kaspersky Adaptive Online Training.
Para mais detalhes sobre as conclusões relacionadas com o Transparent Tribe, leia o relatório completo na Securelist.
