Исследователи компании ESET обнаружили новую активность хакерской группировки Transparent Tribe, которая нацелена преимущественно на пользователей Android в Индии и Пакистане. По данным экспертов, злоумышленники используют изощренную схему заражения, сочетающую социальную инженерию и поддельные приложения для безопасного обмена сообщениями. Предполагается, что жертвами становятся лица, связанные с военными или политическими структурами, хотя точный мотив атак пока остается неясным.
Описание
Кампания, вероятно, продолжается с июля 2022 года и основана на тактике "медовой ловушки". Злоумышленники сначала устанавливают контакт с потенциальными жертвами через другие платформы - например, социальные сети или сайты знакомств, - а затем предлагают перейти на якобы более безопасные мессенджеры. В качестве таких приложений фигурируют поддельные версии MeetsApp и MeetUp, которые на самом деле содержат вредоносный бэкдор CapraRAT. Эти программы распространяются через фальшивые веб-сайты, стилизованные под официальные ресурсы, что повышает доверие пользователей.
CapraRAT - это мощный бэкдор, способный красть конфиденциальные данные с зараженных смартфонов, включая переписку, файлы и учетные записи. Он может тайно активировать микрофон и камеру, записывать звонки, а также удаленно выполнять команды злоумышленников. В ходе расследования ESET выявил, что вредоносная инфраструктура связана с доменами, ранее использовавшимися Transparent Tribe, что подтверждает причастность этой группировки.
Интересно, что плохая операционная безопасность троянизированных приложений позволила исследователям раскрыть персональные данные (PII) некоторых жертв. Анализ этих данных показал, что заражению подверглись около 150 пользователей, преимущественно из Индии и Пакистана. Это подтверждает географическую направленность атаки, хотя не исключено, что кампания может расширяться на другие регионы.
Transparent Tribe (также известная как APT36) - хорошо известная хакерская группа, связанная с Пакистаном. В прошлом она атаковала правительственные и военные учреждения, используя фишинговые письма и вредоносные документы. Однако переход на мобильные угрозы свидетельствует об эволюции тактик группировки. Эксперты рекомендуют пользователям избегать загрузки приложений из ненадежных источников, внимательно проверять домены и использовать двухфакторную аутентификацию для защиты аккаунтов. Также важно регулярно обновлять операционную систему и приложения, чтобы минимизировать риски эксплуатации уязвимостей.
Кибербезопасность остается критически важной темой в условиях роста сложности атак. Такие кампании, как эта, напоминают о необходимости повышенной бдительности при общении в сети и использовании мобильных устройств. Владельцам Android следует особенно осторожно относиться к предложениям перехода на "безопасные" мессенджеры и всегда проверять легитимность приложений перед установкой.
Индикаторы компрометации
IPv4
- 194.233.70.54
- 198.37.123.126
- 34.102.136.180
- 66.235.175.91
Domains
- meetsapp.org
- meetup-chat.com
- phone-drive.online
- share-lienk.info
SHA1
- 4c6741660afed4a0e68ef622aa1598d903c10a01
- 542a2bc469e617252f60925ae1f3d3ab0c1f53b6
