Transparent Tribe APT эксплуатирует тему COVID-19 для распространения шпионского ПО
27 августа 2020 года
Специализирующаяся на кибершпионаже APT-группа Transparent Tribe, о которой недавно писал SecurityLab, обзавелась новым вредоносным инструментом, предназначенным для атак на пользователей Android.
По данным специалистов «Лаборатории Касперского», в новой кампании по кибершпионажу группировка активно атакует владельцев Android-устройств в Индии, распространяя вредоносное ПО под видом популярных приложений. Первое приложение представляет собой видеоплеер, который при установке воспроизводит ролики с контентом «для взрослых». Другая программа, Aarogya Setu, имитирует мобильное приложение для отслеживания COVID-19, разработанное Национальным центром информатики при правительстве Индии.
После загрузки оба приложения пытаются установить на устройство пакет Android, содержащий модифицированную версию AhMyth Android Remote Access Tool (RAT), - трояна с открытым исходным кодом для удаленного доступа к устройству.
Как отмечается, модифицированная версия трояна обладает более «продвинутыми» функциями для кражи данных по сравнению с оригинальной, однако не предоставляет доступ к камере. В остальном функционал вредоноса включает возможность читать SMS-сообщения, просматривать журнал вызовов, манипулировать файлами на дисках, создавать скриншоты, прослушивать разговоры через встроенный микрофон и т.д. Вредонос также отслеживает местоположение зараженного устройства и загружает эту информацию на подконтрольный группировке сервер.
По словам экспертов, Transparent Tribe распространяет вредоносные приложения через определенные web-сайты, заманивая посетителей на ресурсы с помощью социальной инженерии.
Несмотря на высокую активность группировки, ее методы не отличаются сложностью. Transparent Tribe использует сравнительно простую цепочку инфицирования, включающую целевые фишинговые письма, содержащие документы со встроенным VBA кодом. Кроме того, группировка применяет вредоносное ПО с открытым исходным кодом, которое можно найти в свободном доступе, отмечают эксперты.
Источники править
Эта статья содержит материалы из статьи «Transparent Tribe APT эксплуатирует тему COVID-19 для распространения шпионского ПО», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.