A pandemia tornou-se um tema
comum para os agentes de ameaças, que, ao longo dos meses, foram lançando ataques
de engenharia social que ainda hoje são relevantes. O grupo Transparent Tribe,
um agente de ameaças monitorizado pela Kaspersky durante mais de quatro anos,
também se começou a servir deste tema nas suas campanhas.
As recentes descobertas revelam
que o grupo tem estado a trabalhar ativamente na melhoria das suas ferramentas e
do seu alcance para incluir ameaças em dispositivos móveis. Durante a
investigação sobre o Transparent Tribe, a Kaspersky encontrou um implante de Android
utilizado para espiar dispositivos móveis nos ataques que difundiu na Índia, servindo-se
de aplicações falsas de rastreio à COVID-19 e de pornografia. A ligação entre o
grupo e as duas aplicações foi feita através de domínios relacionados que o grupo
utilizava para alojar ficheiros maliciosos para diferentes campanhas.
A primeira aplicação é uma versão
modificada de um simples leitor de vídeo de código aberto para Android que,
quando instalado, exibe um vídeo para adultos como distração. A segunda
aplicação infetada chama-se "Aarogya Setu", semelhante à aplicação
móvel para rastreio da COVID-19, desenvolvida pelo Centro Nacional de
Informática do Governo da Índia, que faz parte do Ministério da Eletrónica e
das Tecnologias de Informação.
Assim que são descarregadas, as
aplicações tentam instalar outro ficheiro Android - uma versão modificada da
Ferramenta de Acesso Remoto do Android (RAT) AhMyth - um malware de código aberto descarregável a partir do GitHub, que foi
construído ao ligar uma carga útil maliciosa a outras aplicações legítimas.
A versão modificada do malware apresenta funcionalidades
diferentes da da standard. Inclui novas características adicionadas
pelos hackers para melhorar a exfiltração
de dados, tais como o roubo de imagens da câmara. A aplicação é capaz de
descarregar novas aplicações para o telefone, aceder a mensagens SMS, ao
microfone, ao registo de chamadas, localização do dispositivo, e listar e
carregar ficheiros para um servidor externo a partir do telefone.
"As novas descobertas destacam o que os
membros do Transparent Tribe têm feito para acrescentar novas ferramentas que permitam
expandir ainda mais as suas operações e chegar às vítimas através de diferentes
vetores de ataque, que agora incluem dispositivos móveis. Vemos também que o grupo
está constantemente a trabalhar para melhorar e modificar as ferramentas que
utiliza. Para permanecerem protegidos contra estas ameaças, os utilizadores
devem ser mais cuidadosos do que nunca ao avaliar as fontes a partir das quais
descarregam conteúdos e assegurar-se de que os seus dispositivos estão seguros.
Isto é especialmente relevante para aqueles que sabem que podem ser alvo de um
ataque APT", comenta Giampaolo Dedola, Investigador Sénior de Segurança
da Equipa Global de Investigação e Análise da Kaspersky.
Mais informação
detalhada sobre os indicadores de compromisso relacionados com este grupo,
incluindo hashes de ficheiros e
servidores C2, pode ser consultada no Portal de
Inteligência de Ameaças da Kaspersky.
Para se
proteger desta ameaça, a Kaspersky recomenda que sejam tomadas as seguintes
medidas de segurança:
· Proporcionar à equipa SOC acesso às últimas informações sobre ameaças. O Portal de
Inteligência de Ameaças é um ponto
de acesso único da equipa de IT da empresa, fornecendo dados sobre ciberataques
e informações recolhidas pela Kaspersky durante mais de 20 anos.
· Assegurar que a sua solução de segurança de endpoint fornece proteção para dispositivos móveis. A solução Kaspersky Endpoint Security for Business garante proteção contra malware
móvel e assegura que apenas aplicações de confiança podem ser utilizadas em
dispositivos corporativos.
· Certificar que os colaboradores conhecem os princípios básicos de segurança
de dispositivos móveis, através da implementação de um curso de formação e
sensibilização de segurança que cobre estes tópicos, tais como o Kaspersky Adaptive Online Training.
Para mais detalhes sobre as conclusões relacionadas com o Transparent Tribe, leia o relatório completo na Securelist.
0 comments:
Enviar um comentário