Milano, 26 agosto 2020 - I ricercatori di Kaspersky hanno presentato le loro scoperte su una nuova applicazione spyware per Android distribuita da Transparent Tribe, un prolifico gruppo APT, in India sotto forma di contenuti per adulti e applicazioni legittime sul COVID-19. Il gruppo mirava a estendere la portata delle proprie operazioni e ad infettare i dispositivi mobili. Questi e altri risultati sono stati resi noti durante la seconda fase di un'indagine su questo threat actor.
La pandemia è stata e ed è tuttora un argomento molto utilizzato dai threat actor che sfruttano tecniche di social engineering. Anche Transparent Tribe, un threat actor che Kaspersky ha monitorato per oltre quattro anni ha sfruttato questo argomento nelle proprie campagne.
Dalle ultime scoperte è emerso che il gruppo ha lavorato al potenziamento del proprio toolset e sull'ampliamento della propria portata per raggiungere anche i dispositivi mobili. Nel corso della precedente indagine su Transparent Tribe, Kaspersky aveva individuato un nuovo impianto Android utilizzato dal threat actor per spiare i dispositivi mobili durante gli attacchi, che era stato distribuito in India sotto forma di contenuti per adulti e finte applicazioni legittime per il tracciamento dei casi di COVID-19 a livello nazionale. Il gruppo è stato associato alle due applicazioni grazie ai domini correlati che i criminali avevano utilizzato per ospitare file dannosi durante altre campagne.
La prima applicazione è una versione modificata di un comune lettore video open-source per Android, che, quando viene installato, mostra un video per adulti come diversivo. La seconda applicazione infetta è stata denominata "Aarogya Setu" ed è simile all'applicazione di mobile tracking per il COVID-19 sviluppata dal National Informatics Centre del Governo indiano, che fa capo al Ministero dell'Elettronica e dell'Informatica.
Entrambe le applicazioni, una volta scaricate, tentano di installare un altro file del pacchetto Android, una versione modificata dell'AhMyth Android Remote Access Tool (RAT), ovvero un malware open source scaricabile da GitHub che è stato realizzato associando un payload utile dannoso ad altre applicazioni legittime.
La versione modificata del malware si differenzia da quella standard per le funzionalità. Comprende, infatti, delle feature aggiunte dagli attaccanti per migliorare l’esfiltrazione dei dati, mentre mancano alcune caratteristiche fondamentali, come ad esempio l'acquisizione di immagini dalla fotocamera. L'applicazione è in grado di scaricare nuove applicazioni sul telefono, accedere a messaggi SMS, al microfono, ai registri delle chiamate, oltre che di tracciare la posizione del dispositivo e catalogare e caricare file dal telefono a un server esterno.
"Le ultime scoperte dimostrano come il gruppo Transparent Tribe si sia impegnato per aggiungere nuovi tool allo scopo di ampliare ulteriormente la portata delle loro operazioni e raggiungere le vittime attraverso nuovi vettori di attacco, che ora comprendono anche i dispositivi mobili. Abbiamo inoltre osservato che il gruppo potenzia e modifica costantemente gli strumenti a sua disposizione. Per proteggersi da queste minacce, gli utenti dovrebbero verificare attentamente le fonti da cui scaricano i contenuti e assicurarsi che i loro dispositivi siano protetti. Questo è una raccomandazione particolarmente importante per chi sa di poter diventare il bersaglio di un attacco APT", ha dichiarato Giampaolo Dedola, senior security researcher del Global Research and Analysis Team di Kaspersky.
È possibile trovare maggiori informazioni sugli Indicatori di Compromissione relativi a questo gruppo compresi gli hash di file e i server C2 su Kaspersky Threat Intelligence Portal.
Per proteggersi da questa minaccia, Kaspersky raccomanda di adottare le seguenti misure di sicurezza:
• Fornire al team del Security Operations Center (SOC) l'accesso alla più recente threat intelligence (TI). Kaspersky Threat Intelligence Portal rappresenta un unico punto di accesso alla TI dell'azienda e fornisce dati sugli attacchi informatici e sulle informazioni raccolte da Kaspersky in oltre 20 anni.
• Assicurarsi che la propria soluzione di sicurezza per endpoint protegga anche i dispositivi mobili. Kaspersky Endpoint Security for Business fornisce protezione da malware per mobile e garantisce che solo le applicazioni affidabili possano essere utilizzate sui dispositivi aziendali.
• Accertarsi che i dipendenti apprendano le nozioni di base di sicurezza dei dispositivi mobili offrendo loro un corso di formazione dedicato. Kaspersky Adaptive Online Training è un valido strumento di formazione.
Maggiori informazioni sulle scoperte relative a Transparent Tribe sono disponibili su Securelist.
Maggiori informazioni sull'attività di questo gruppo APT saranno condivise nel corso del prossimo webinar dal titolo “GReAT Ideas. Powered by SAS: advancing on new fronts - tech, mercenaries and more”, che si terrà online il 26 agosto alle ore 16.00. È possibile partecipare gratuitamente registrandosi a questo link: https://kas.pr/v1oj
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 250.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
Contatto di redazione:
kaspersky@noesis.netkaspersky@noesis.net
.jpg)
.jpg)
