卡巴斯基研究人员分享了有关一款最新安卓间谍软件应用的新发现,该应用由一个名为 Transparent Tribe 的多产的 APT 组织在印度进行传播,该威胁组织会将它伪装成成人内容和官方的 COVID-19 应用。
这反映了该威胁组织正在朝着扩大其攻击行动和感染移动设备的方向发展。我们在对该威胁行为者的调查报告中的第二部分发布了这些以及其他发现结果。
这次的疫情已经成为被威胁行为者滥用的话题,他们利用该主题发动社交工程攻击,而且即使到现在,仍然有很强的相关性。Transparent Tribe 是一个卡巴斯基已经追踪超过四年的威胁组织,他们在攻击行动中也使用了这一热门话题。
最近的发现显示,该组织一直在积极改进他们的工具集,并且将其攻击范围扩大到移动设备。在先前对Transparent Tribe进行的调查中,卡巴斯基发现一种新的安卓植入物,该威胁行为者使用这种植入物来监视被攻击的移动设备。这些植入物在印度被伪装成涩情相关内容或官方COVID-19追踪应用进行传播。之所以将该威胁组织与这两种应用联系起来,多亏了威胁行为者用于托管不同活动的恶意文件的相关域名。
第一个应用是一个简单的安卓平台下的开源视频播放器的修改版,安装后,会显示一个成人视频以分散用户注意力。第二个受感染的应用名为“Aarogya Setu”,与印度政府电子和信息技术部下属的国家信息学中心开发的COVID-19追踪移动应用非常相似。
这两款应用下载后,都会尝试安装另一个安卓文件包——即AhMyth安卓远程访问工具(RAT)的修改版。这是一款可从GitHub上下载的开源恶意软件,它是通过在其他合法应用内绑定恶意有效载荷来构建的。
修改版的恶意软件在功能上与标准版有区别。修改版包含攻击者为改善数据窃取而添加的新功能,而一些核心功能,如从相机中窃取图片,则不见了。该应用能够下载应用到手机,访问短信、麦克风、通过记录,并且可以追踪设备位置,枚举并将文件从手机上传到外部服务器。
“这些新发现表明,Transparent Tribe 成员正在努力增加新的工具,进一步扩大了他们的攻击行动,并通过不同的攻击载体接触到他们的受害者,现在他们的攻击载体包括移动设备了。我们还看到该威胁组织正在稳定地改进和修改他们使用的工具。为了避免受到此类威胁的侵害,用户在下载资源时,应当更为小心,需要自己审查下载来源,确保他们的设备保持安全。这对于那些知道自己可能会成为APT攻击目标的人来说尤其如此,”卡巴斯基全球研究和分析团队高级安全研究员 Giampaolo Dedola 评论说。
有关该威胁组织相关的感染迹象等详细信息,包括文件哈希值以及C2服务器地址等信息,请访问卡巴斯基威胁情报门户网站获取。
为了确保不遭到这类威胁的侵害,卡巴斯基建议采取以下安全措施:
- 为您的SOC团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是该公司的一站式威胁情报访问平台,提供卡巴斯基 20 多年来收集的网络攻击数据和见解。
- 确保您的端点安全解决方案提供针对移动设备的保护。卡巴斯基网络安全解决方案能够确保移动设备免受恶意软件的侵害,并且只有受信任的应用才能在企业设备上使用。
- 通过提供涵盖这些主题的安全意识培训课程,确保您的员工了解基础的移动设备安全知识。例如,卡巴斯基适应性在线培训课程就能够提供帮助。
更多有关 Transparent Tribe 相关发现详情,请访问Securelist 查看完整报告。
在即将举行的网络研讨会GReAT Ideas中了解有关此APT组活动的更多信息。由SAS提供支持,主题为:开拓新的战线——技术、雇佣兵以及更多,研讨会将于GMT 时间 8月26日下午2点进行。免费注册请点击:https://kas.pr/v1oj
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
