Transparent Tribe, un importante actor internacional de amenazas, tiene perfectamente identificados los asuntos que más interesan a los usuarios y, consecuentemente, desde donde pueden infectar un mayor número de dispositivos móviles con sus ataques de ingeniería social. Así, las aplicaciones de contenido para adultos y de rastreo de Covid-19 son los lugares predilectos en los que este grupo está instalando sus spywares.
Kaspersky lleva 4 años rastreando a Transparent Tribe, y sus hallazgos más recientes muestran que este grupo ha estado trabajando activamente en la mejora de sus herramientas y en su alcance para incluir amenazas a dispositivos móviles.
Durante su última investigación, la empresa de seguridad digital encontró un implante de Android utilizado para espiar los dispositivos móviles en los ataques que distribuyó en la India aprovechando las aplicaciones falsas de rastreo de Covid-19 y de pornografía. La conexión entre el grupo y las dos aplicaciones se realizó gracias a los dominios relacionados que el actor utilizó para alojar archivos maliciosos para diferentes campañas.
Las particularidades de cada aplicación
La primera aplicación es una versión modificada de un sencillo reproductor de vídeo de código abierto para Android que, al instalarse, muestra un vídeo para adultos como distracción.
La segunda aplicación infectada se denomina Aarogya Setu, similar a la aplicación móvil de rastreo COVID-19 desarrollada por el Centro Nacional de Informática del Gobierno de la India, que depende del Ministerio de Electrónica y Tecnología de la Información.
Una vez descargadas, ambas aplicaciones intentan instalar otro archivo Android -una versión modificada de la Herramienta de Acceso Remoto Android (RAT) AhMyth-, un malware de código abierto descargable desde GitHub que fue construido al vincular una carga útil maliciosa dentro de otras aplicaciones legítimas.
La versión modificada del malware es diferente en funcionalidad de la estándar. Incluye nuevas características añadidas por los atacantes para mejorar la exfiltración de datos, mientras que faltan algunas básicas, como el robo de imágenes de la cámara.
La aplicación es capaz de descargar nuevas aplicaciones al teléfono, acceder a los mensajes SMS, al micrófono, a los registros de llamadas, rastrear la ubicación del dispositivo y enumerar y cargar archivos a un servidor externo desde el teléfono.