Hekeri nalákali vládnych predstaviteľov na romantickú pascu, potom ich špehovali

Výskumníci zo spoločnosti ESET majú za sebou ďalšie odhalenie nebezpečnej hekerskej kampane. Tentokrát bola zameraná na používateľov Androidu prostredníctvom skompromitovaných aplikácií zdanlivo určených na bezpečné posielanie správ a volanie.

Ide o naďalej aktívnu kampaň z dielne APT skupiny Transparent Tribe. Tá cieli najmä na indických a pakistanských Android používateľov, pričom sa viac zameriava na vojenské a politické kruhy. Tieto skompromitované aplikácie pritom kradnú citlivé údaje.

Hekeri si pripravili romantickú pascu, používateľov najprv kontaktovali na inej platforme a následne ich presviedčali, aby sa presunuli do inej „bezpečnejšej aplikácie“. Kampaň je s najväčšou pravdepodobnosťou aktívna už od júla 2022. Výskumníkom ESETu sa dokopy podarilo lokalizovať viac ako 150 obetí z Indie a Pakistanu, ako aj z Ruska, Ománu a Egypta.

Lukáš Štefanko, výskumník spoločnosti ESET, ktorý odhalil kampaň, vysvetľuje, že hekeri presvedčili obete, aby použili aplikácie MeetsApp alebo MeetUp. Už v minulosti zaznamenali využitie takejto pasce skupinou Transparent Tribe. Nájsť telefónne číslo alebo e-mailovú adresu na realizáciu prvotného kontaktu nie je zvyčajne príliš náročné.

Tieto škodlivé verzie aplikácií obsahujú aj škodlivý kód, ktorý ESET identifikoval ako backdoor CapraRAT. Transparent Tribe je špionážna skupina známa využívaním tohto malvéru. CapraRAT dokáže vyhotovovať snímky obrazovky a fotografie, nahrávať telefonické rozhovory a okolitý zvuk či vynášať akékoľvek citlivé informácie.

CapraRAT taktiež dokáže prijímať príkazy na sťahovanie súborov, uskutočňovanie hovorov a posielanie SMS správ. Kampaň má úzke zameranie a nič nenasvedčuje tomu, že by boli tieto aplikácie dostupné aj v obchode Google Play.

Keďže tieto aplikácie nemali dostatočné zabezpečenie, tak výskumníkom sa podarilo získať prístup k identifikačným údajom obetí a tým zistiť ich polohu. Obe aplikácie sú distribuované prostredníctvom dvoch podobných webových stránok, ktoré popisujú aplikácie ako služby na bezpečné posielanie správ a volanie.

Pred použitím aplikácie si musí obeť vytvoriť účet prepojený na jej telefónne číslo a aktivovať si ho pomocou SMS. Následne si aplikácia vyžiada ďalšie povolenia vrátane prístupu ku kontaktom, zoznamu hovorov, SMS správam, externému úložisku a nahrávaniu zvuku. Takýmto spôsobom sa prístupní plná funkčnosť malvéru.