Los investigadores de Kaspersky, empresa de ciberseguridad global, han publicado sus más recientes hallazgos relacionados a una nueva aplicación de software espía para Android distribuida por Transparent Tribe, un prolífico grupo APT, bajo la apariencia de contenido para adultos y aplicaciones oficiales sobre Covid-19. Una muy creativa iniciativa de este grupo para extender sus operaciones e infectar a dispositivos móviles.  

La generalización del teletrabajo como modalidad implementada en este semestre de 2020 para la supervivencia de las empresas, y el tema de la pandemia por el Covid-19, han creado las condiciones ideales para y de hecho el tema coronavirus, se ha convertido en un gancho muy efectivo y utilizado por agentes de amenazas que lanzan ataques de ingeniería social. Esta fue la técnica que este agente de amenazas rastreado por Kaspersky desde hace más de cuatro años: Transparent Tribe, ha comenzado a adoptar en sus campañas. Según los más recientes hallazgos, se ha comprobado que este grupo ha estado trabajando activamente para mejorar su conjunto de herramientas y expandir su alcance para incluir amenazas a dispositivos móviles basados en el sistema operativo Android. 

Durante la investigación Kaspersky sobre Transparent Tribe, se ha encontrado un nuevo implante de Android utilizado por este grupo para espiar dispositivos móviles y distribuido en la India como aplicaciones pornográficas y apps de rastreo de Covid-19 falsas. La conexión entre el grupo y esas dos aplicaciones pudo ser realizada, gracias a los dominios relacionados que el agente utilizó para alojar archivos maliciosos empleados en diferentes campañas.

Una vez descargadas ambas aplicaciones, intentan instalar otro archivo de paquetes de Android – con una versión modificada de la herramienta de acceso remoto de Android AhMyth (RAT) –, este es un malware de código abierto que se puede bajar de GitHub, y fue creado agregando una carga maliciosa dentro de otras aplicaciones legítimas. Esta versión modificada del malware es diferente en cuanto a funcionalidad a la versión estándar, porque incluye nuevas funciones que fueron agregadas por los atacantes para mejorar la exfiltración de datos, pero carece de algunas funciones básicas, como la de robar fotografías de la cámara.

La aplicación es capaz de accionar funciones, como: bajar nuevas aplicaciones al teléfono, acceder a los mensajes SMS, el micrófono y los registros de llamadas, rastrear la ubicación del dispositivo y enumerar y subir archivos a un servidor externo desde el teléfono.

“Los nuevos hallazgos subrayan los esfuerzos de los miembros de Transparent Tribe para agregar nuevas herramientas que amplíen aún más sus operaciones y lleguen a sus víctimas a través de diferentes vectores de ataque, que ahora incluyen los dispositivos móviles. También vemos que el agente está trabajando constantemente para mejorar y modificar las herramientas que utiliza. Para mantenerse protegidos contra esas amenazas, los usuarios deben ser más cuidadosos que nunca al evaluar las fuentes de donde bajan contenido y asegurarse de que sus dispositivos estén protegidos. Esto es especialmente relevante para aquellos que saben que podrían convertirse en el objetivo de un ataque APT", comenta Giampaolo Dedola, investigador senior de seguridad en Kaspersky.

La empresa de ciberseguridad recomienda tomar las siguientes medidas de seguridad:

· Asegurarse de que sus empleados conozcan los conceptos básicos de seguridad para dispositivos móviles. Es fundamental proporcionarles cursos de concienciación sobre seguridad que abarque esos aspectos.

· Proporcionar al equipo de seguridad, acceso a la inteligencia de amenazas más reciente.

· Comprobar que se está usando una solución de seguridad para endpoints que proporcione protección para los dispositivos móviles y garantice la protección contra el malware móvil, además de avalar que solo se puedan utilizar aplicaciones confiables en dispositivos corporativos.