• Erwachseneninhalte und gefälschte COVID-19-Applikation als Köder
• Kaspersky-Webcast zu Transparent Tribe am 26. August, 16 Uhr (Anmeldung: https://kas.pr/v1oj)

Die Experten von Kaspersky haben eine neue Android-Spyware entdeckt, die unter dem Deckmantel vermeintlicher Erwachseneninhalte und COVID-19-Applikationen in Indien vertrieben wird [1]. Die Spyware wird der APT-Gruppe Transparent Tribe zugeschrieben, die ihre Aktivitäten auszuweiten scheint und nun mobile Geräte infiziert.

Kaspersky konnte bereits vor kurzem Transparent Tribe mit einer aktuellen Cyber-Spionage-Kampagne gegen Militär- und Regierungseinrichtungen weltweit in Verbindung bringen [2]. Jüngste Ergebnisse zeigen nun, dass die Gruppe auch aktiv an der Verbesserung ihrer Tools und der Ausweitung ihrer Reichweite zur Bedrohung mobiler Geräte gearbeitet hat. Während der Untersuchung von Transparent Tribe konnte Kaspersky ein neues Android-Implantat finden, das der Bedrohungsakteur bei Angriffen zum Ausspionieren mobiler Geräte einsetzte und das in Indien durch eine pornografische App und eine gefälschte Version der nationalen COVID-19-Tracking-App verbreitet wurde. Die Verbindung zwischen der Gruppe und den beiden Anwendungen wurde aufgrund der verwandten Domänen hergestellt, die Transparent Tribe nutzte, um bösartige Dateien für verschiedene Kampagnen zu hosten.

Modifizierte Malware für noch effektiveren Datendiebstahl Bei der ersten Anwendung handelt es sich um eine modifizierte Version eines einfachen Open-Source-Videoplayers für Android, der bei der Installation ein Erwachsenenvideo als Ablenkung zeigt. Die zweite infizierte Anwendung trägt den Namen "Aarogya Setu" und ähnelt der mobilen Anwendung COVID-19, die vom Nationalen Informatikzentrum der Regierung Indiens entwickelt wurde und dem Ministerium für Elektronik und Informationstechnologie untersteht.

Beide Applikationen versuchen, nach dem Herunterladen eine weitere Android-Paketdatei zu installieren. Hierbei handelt es sich um eine modifizierte Version des AhMyth Android Remote Access Tool (RAT), einer Open-Source-Malware, die von GitHub heruntergeladen werden kann und durch das Einbinden einer schädlichen Payload in andere legitime Anwendungen erstellt wurde.

Die modifizierte Form der Malware unterscheidet sich in ihrer Funktionalität von der Standardversion. Sie enthält neue Funktionen, die von den Angreifern hinzugefügt wurden, um die Daten-Exfiltration zu verbessern, während einige Kernfunktionen, wie das Stehlen von Kamerabildern, fehlen. Die Anwendung kann neue Applikationen auf das Telefon herunterladen, auf SMS, Mikrofon und Anrufprotokolle zugreifen, den Standort des Geräts verfolgen und auf einem Telefon befindliche Dateien auf einen externen Server hochladen.

"Die neu gewonnenen Erkenntnisse unterstreichen die Bemühungen der Mitglieder von Transparent Tribe, ihrem Angriffsportfolio neue Werkzeuge hinzuzufügen, die dabei helfen, Operationen noch weiter ausweiten und Opfer über verschiedene Angriffsvektoren – jetzt auch mobile Geräte – zu erreichen", kommentiert Giampaolo Dedola, leitender Sicherheitsforscher bei Kaspersky. "Wir sehen auch, dass die Akteure ständig an der Verbesserung und Modifizierung der von ihnen verwendeten Tools arbeiten. Um sich vor solchen Bedrohungen zu schützen, müssen Nutzer sorgfältiger denn je die Quellen prüfen, von denen sie Inhalte herunterladen, und sicherstellen, dass ihre Geräte geschützt sind. Dies ist besonders für diejenigen relevant, die wissen, Ziel eines APT-Angriffs werden zu können."

Kaspersky-Tipps zum Schutz vor zielgerichteten Bedrohungen

. Das Security Operations Center (SOC)-Team sollte stets Zugang zu den neuesten Threat Intelligence (TI)-Daten haben. Das Kaspersky Threat Intelligence Portal [3] ist zentraler Zugangspunkt auf die TI eines Unternehmens und bietet umfangreiche Informationen zu Cyberangriffen

. Einen umfassenden Endpoint-Schutz wie etwa Kaspersky Integrated Endpoint Security [4] implementieren. Dieser kombiniert Endpunktsicherheit mit Sandbox- und EDR-Funktionalität und ermöglicht so einen effektiven Schutz vor fortschrittlichen Bedrohungen und sofortige Transparenz über die, auf den Endpoints von Unternehmen und Organisationen erkannten, maliziösen Aktivitäten.

. Unternehmen sollten Mitarbeiter regelmäßig schulen, damit diese über die aktuellen Taktiken und Techniken von Cyberkriminellen informiert sind. Schulungsprogramme wie Kaspersky Automated Security Awareness Platform [5] helfen dabei.

Der zweite Teil der Transparent Tribe-Analyse mit weiteren Informationen ist verfügbar unter https://securelist.com/transparent-tribe-part-2/98233/

Weitere Details und Informationen über die Aktivitäten dieser APT-Gruppe im kommenden, auf Englisch gehaltenen Webinar von Kaspersky: "GReAT Ideas. Powered by SAS: advancing on new fronts – tech, mercenaries and more", am 26. August um 16 Uhr. Zur kostenfreien Anmeldung: https://kas.pr/v1oj

[1] https://securelist.com/transparent-tribe-part-2/98233/
[2] https://www.kaspersky.de/about/press-releases/2020_aktuelle-cyber-spionage-kampagne-transparent-tribe-zielt-auf-militaer–und-regierungseinrichtungen-weltweit-ab
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
[4] https://www.kaspersky.de/enterprise-security/endpoint
[5] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform

Nützliche Links:

• Zweiter Teil der Transparent Tribe-Analyse: https://securelist.com/transparent-tribe-part-2/98233/
• Erster Teil der Transparent Tribe-Analyse: https://securelist.com/transparent-tribe-part-1/98127/
• Kaspersky Threat Intelligence Portal: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Kaspersky Integrated Endpoint Security: https://www.kaspersky.de/enterprise-security/endpoint
• Kaspersky Automated Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform