近日,SentinelOne 安全研究员 Alex Delamotte 在与 The Hacker News 分享的新报告中,揭示了透明部落(Transparent Tribe)这一威胁行为者的最新动向。该组织通过社会工程活动,持续释放带有恶意软件的 Android 应用程序,进一步扩大其攻击面。
透明部落,这个疑似来自巴基斯坦的黑客组织,两年多来一直利用 CapraRAT 间谍软件,针对印度政府和军事人员进行攻击。CapraRAT 是 AndroRAT 的修改版本,具有捕获各种敏感数据的能力。最新的活动被称为 CapraTube,由网络安全公司于 2023 年 9 月首次提出。
Delamotte 指出,这些 APK 延续了该组织将间谍软件嵌入精选视频浏览应用程序的趋势,但此次扩展的目标人群更广泛,涵盖了手机游戏玩家、武器爱好者和 TikTok 粉丝。
恶意应用列表
SentinelOne 识别出的新恶意 APK 文件包括:
- 疯狂游戏(com.maeps.crygms.tktols)
- 性感视频(com.nobra.crygms.tktols)
- TikTok(com.maeps.vdosa.tktols)
- 武器(com.maeps.vdosa.tktols)
CapraRAT 利用 WebView 启动 YouTube 或名为 CrazyGames.com 的移动游戏网站的 URL,同时在后台滥用其权限访问位置、短信、联系人和通话记录;拨打电话;截屏;或录制音频和视频。
一个显著变化是,CapraRAT 不再请求READ_INSTALL_SESSIONS、GET_ACCOUNTS、AUTHENTICATE_ACCOUNTS 和 REQUEST_INSTALL_PACKAGES 等权限,这表明威胁行为者旨在将其用作监视工具而不是后门。尽管如此,这些 APK 的威胁不容小觑,因为它们仍旧具有广泛的监控能力。
技术更新与攻击目标
“2023 年 9 月活动与当前活动之间对 CapraRAT 代码的更新很少,但表明开发人员专注于使该工具更加可靠和稳定,”Delamotte 解释道。“决定使用较新版本的 Android 操作系统是合乎逻辑的,并且可能与该组织持续针对印度政府或军事领域的个人的目标一致,这些人不太可能使用运行旧版本 Android 的设备,例如 8 年前发布的 Lollipop。”
新型恶意软件 Snowblind
与此同时,Promon 披露了一种名为 Snowblind 的新型 Android 银行恶意软件,该恶意软件以与 FjordPhantom 类似的方式试图绕过检测方法,并以秘密方式利用操作系统的辅助功能服务 API。
Promon 表示:“Snowblind […] 执行的是正常的重新打包攻击,但使用了一种基于 seccomp 的鲜为人知的技术,该技术能够绕过许多防篡改机制。”
FjordPhantom 和 Snowblind 瞄准东南亚的应用程序,并利用强大的新攻击技术。这表明该地区的恶意软件作者已经变得非常老练。
总结
透明部落的最新活动再次提醒我们,移动设备上的安全威胁仍在不断演变,且攻击手段日益复杂。作为用户,我们必须保持警惕,确保设备上的应用程序来源可信,并定期更新系统和安全软件。网络安全公司和研究员们的持续监测和报告,对于防范这些威胁至关重要。我们也期待相关机构和企业能够进一步加强安全防护,共同应对这一不断变化的网络威胁环境。
