Transparent Tribe: Neue Android-Spyware unter dem Deckmantel populärer Apps

Die Experten von Kaspersky haben eine neue Android-Spyware entdeckt, die unter dem Deckmantel vermeintlicher Erwachseneninhalte und COVID-19-Applikationen in Indien vertrieben wird. Die Spyware wird der APT-Gruppe Transparent Tribe zugeschrieben, die ihre Aktivitäten auszuweiten scheint und nun mobile Geräte infiziert. [...]

Die modifizierte Form der Malware unterscheidet sich in ihrer Funktionalität von der Standardversion. Sie enthält neue Funktionen, die von den Angreifern hinzugefügt wurden, um die Daten-Exfiltration zu verbessern. (c) sitthiphong - stock.adobe.com

Kaspersky konnte bereits vor kurzem Transparent Tribe mit einer aktuellen Cyber-Spionage-Kampagne gegen Militär- und Regierungseinrichtungen weltweit in Verbindung bringen. Jüngste Ergebnisse zeigen nun, dass die Gruppe auch aktiv an der Verbesserung ihrer Tools und der Ausweitung ihrer Reichweite zur Bedrohung mobiler Geräte gearbeitet hat. Während der Untersuchung von Transparent Tribe konnte Kaspersky ein neues Android-Implantat finden, das der Bedrohungsakteur bei Angriffen zum Ausspionieren mobiler Geräte einsetzte und das in Indien durch eine pornografische App und eine gefälschte Version der nationalen COVID-19-Tracking-App verbreitet wurde. Die Verbindung zwischen der Gruppe und den beiden Anwendungen wurde aufgrund der verwandten Domänen hergestellt, die Transparent Tribe nutzte, um bösartige Dateien für verschiedene Kampagnen zu hosten.

Modifizierte Malware für noch effektiveren Datendiebstahl

Bei der ersten Anwendung handelt es sich um eine modifizierte Version eines einfachen Open-Source-Videoplayers für Android, der bei der Installation ein Erwachsenenvideo als Ablenkung zeigt. Die zweite infizierte Anwendung trägt den Namen „Aarogya Setu“ und ähnelt der mobilen Anwendung COVID-19, die vom Nationalen Informatikzentrum der Regierung Indiens entwickelt wurde und dem Ministerium für Elektronik und Informationstechnologie untersteht.

Beide Applikationen versuchen, nach dem Herunterladen eine weitere Android-Paketdatei zu installieren. Hierbei handelt es sich um eine modifizierte Version des AhMyth Android Remote Access Tool (RAT), einer Open-Source-Malware, die von GitHub heruntergeladen werden kann und durch das Einbinden einer schädlichen Payload in andere legitime Anwendungen erstellt wurde.

Verbesserte Daten-Exfiltration

Die modifizierte Form der Malware unterscheidet sich in ihrer Funktionalität von der Standardversion. Sie enthält neue Funktionen, die von den Angreifern hinzugefügt wurden, um die Daten-Exfiltration zu verbessern, während einige Kernfunktionen, wie das Stehlen von Kamerabildern, fehlen. Die Anwendung kann neue Applikationen auf das Telefon herunterladen, auf SMS, Mikrofon und Anrufprotokolle zugreifen, den Standort des Geräts verfolgen und auf einem Telefon befindliche Dateien auf einen externen Server hochladen.

„Die neu gewonnenen Erkenntnisse unterstreichen die Bemühungen der Mitglieder von Transparent Tribe, ihrem Angriffsportfolio neue Werkzeuge hinzuzufügen, die dabei helfen, Operationen noch weiter ausweiten und Opfer über verschiedene Angriffsvektoren – jetzt auch mobile Geräte – zu erreichen“, kommentiert Giampaolo Dedola, leitender Sicherheitsforscher bei Kaspersky. „Wir sehen auch, dass die Akteure ständig an der Verbesserung und Modifizierung der von ihnen verwendeten Tools arbeiten. Um sich vor solchen Bedrohungen zu schützen, müssen Nutzer sorgfältiger denn je die Quellen prüfen, von denen sie Inhalte herunterladen, und sicherstellen, dass ihre Geräte geschützt sind. Dies ist besonders für diejenigen relevant, die wissen, Ziel eines APT-Angriffs werden zu können.“

Der zweite Teil der Transparent Tribe-Analyse mit weiteren Informationen ist verfügbar unter https://securelist.com/transparent-tribe-part-2/98233/.


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*