Istraživači bezbjednosti otkrili su kampanju kibernetičke špijunaže usmjerenu uglavnom na indijske i pakistanske žrtve s Android aplikacijama za razmjenu poruka koje sadrže maliciozni softver u pozadini.
ESET je rekao da mu je slab OpSec omogućio da locira preko 150 žrtava, od kojih su neke takođe boravile u Rusiji, Omanu i Egiptu.
Kampanja je pripisana pakistanskom hakeru Transparent Tribe (APT36) zbog korištenja CapraRAT backdoor-a i IP adresa uočenih u prethodnim kampanjama grupe.
„Backdoor je sposoban za snimanje ekrana i fotografija, snimanje telefonskih poziva i okolnog zvuka i eksfiltriranje bilo koje druge osjetljive informacije“ rekao je ESET.
“Backdoor takođe može primati komande za preuzimanje datoteka, upućivanje poziva i slanje SMS poruka. Kampanja je usko ciljana i ništa ne ukazuje na to da su ove aplikacije ikada bile dostupne na Google Play-u.”
CapraRAT je bio prerušen u dvije aplikacije legitimnog izgleda, takozvane sigurne Android aplikacije za ćaskanje ‘MeetsApp’ i ‘MeetUp’, koje su distribuisane putem malicioznih web stranica koje hostuje APT36.
“S obzirom da je samo nekoliko pojedinaca kompromitovano, vjerujemo da su potencijalne žrtve bile visoko ciljane i namamljene korištenjem ljubavnih šema, pri čemu su operateri Transparent Tribe-a najvjerovatnije uspostavili prvi kontakt putem druge platforme za razmjenu poruka” objasnio je ESET.
“Nakon što su zadobili povjerenje žrtava, predložili su prelazak na drugu, navodno sigurniju, aplikaciju za ćaskanje koja je bila dostupna na jednoj od malicioznih distribucijskih web stranica.”
Procjena vendora bezbjednosti zasnovana je na činjenici da je APT36 ranije koristio ljubavne prevare u zamkama da bi namamio svoje žrtve. Dodaje se da su žrtve vjerovatno vojni ili politički zvaničnici.
Kampanja je još uvijek bila aktivna u vrijeme pisanja ovog teksta.
Izvor: Infosecurity Magazine