Objavila sa špionážna kampaň, ktorá šíri backdoory CapraRAT zamerané na operačný systém Android. Využíva na to zdanlivo bezpečné, no špeciálne upravené aplikácie určené na četovanie. Tie si obeť väčšinou stiahne z neoficiálnych zdrojov. Práve preto neustále dávame do pozornosti to, že sťahovať aplikácie je najvhodnejšie len z obchodu Google Play. Na tému upzornila spoločnosť ESET prostredníctvom tlačovej správy.
Nemali by ste prehliadnuť:
- Používatelia Fitbit hodiniek sú nešťastní. Pridú o obľúbenú funkciu
- Predávajú sa za 400 eur. Koľko stojí výroba Google Pixel Watch? Je to podstatne menej
- Tento smart prsteň vám odmeria krvný tlak aj teplotu
Cieľom týchto aplikácií je kradnutie citlivých údajov. Kampaň pochádza z dielne APT skupiny Transparent Tribe, ktorá momentálne cieli najmä na používateľov Android smartfónov z Indie a Pakistanu.
Prvý kontakt je dôležitý
Romantická pasca prichádza hlavne pri prvom kontakte. Už viackrát sme informovali o tom, ako nejaký “americký vojak” oklamal nič netušiacu obeť zo Slovenska a ona mu poslala slušnú sumu peňazí. Toto funguje na podobnom princípe. Útočník obeť ale presvedčí, aby sa komunikácia presunula na “bezpečnejšiu platformu.” A tu prichádza spomínaná upravená aplikácia, ktorú si obeť nainštaluje do svojho smartfónu.
ESETu sa podarilo lokalizovať už viac ako 150 obetí z Indie, Pakistanu, Ruska, Ománu a Egypta. Kampaň je pravdepodobne aktívna od júla minulého roka.
“meetsapp.apk”: 12850cc6429c12a958bd67609ff065f00be83c9c585ea14deb8d8b1cb82dc781
Both AndroRAT and CrimsonRAT traffic rules matched…
🤔@LukasStefanko @bl4ckh0l3z pic.twitter.com/p0OZeP7lcT— MalwareHunterTeam (@malwrhunterteam) September 23, 2022
„Útočníci presvedčili obete, aby použili aplikácie MeetsApp alebo MeetUp. Už v minulosti sme zaznamenali využitie takejto pasce skupinou Transparent Tribe. Nájsť telefónne číslo alebo e-mailovú adresu na prvotný kontakt pritom zvyčajne nie je príliš náročné.Túto kampaň sme identifikovali počas analyzovania inej vzorky malvéru zverejnenej na Twitteri.“
Lukáš Štefanko, výskumník spoločnosti ESET, ktorý odhalil kampaň
Čo všetko tieto aplikácie dokážu?
Skompromitované verzie aplikácií MeetUP a MeetsApp dokážu nielen sledovať a zbierať dáta používateľov, ale omnoho viac. Napríklad aj vyhotovovať snímky obrazovky a fotografie, nahrávať telefonáty, okolitý hluk a vynášať akékoľvek citlivé informácie.
To ale nie je všetko. Backdoor tiež dokáže hovory aj uskutočňovať, rovnako aj posielať SMS správy. Opäť pripomíname, že v obchode Google Play takéto verzie aplikácií stiahnuť možné nie je.
Aplikácie sa šíria prostredníctvom dvoch internetových stránok. Tie ich popisujú ako služby na bezpečné posielanie správ a volanie. Pred prvotným použitím musí obeť dokonca vytvoriť účet, ktorý je prepojený na jej telefónne číslo. Aplikácia si následne vypýta všetky potrebné povolenia, aby mohla obeť sledovať a získavať informácie. No a obeť jej ich s radosťou poskytne.
