Transparent Tribe<\/a>, y es dirigida principalmente a usuarios de Android de India y Paquist\u00e1n, presumiblemente con una orientaci\u00f3n militar o pol\u00edtica. Las v\u00edctimas probablemente fueron atacadas a trav\u00e9s de una estafa rom\u00e1ntica, donde inicialmente fueron contactadas en otra plataforma y luego convencidas de usar aplicaciones supuestamente \u201cm\u00e1s seguras\u201d que terminaron instalando en sus dispositivos. La campa\u00f1a ha estado activa aproximadamente desde julio de 2022, y ha distribuido un c\u00f3digo malicioso identificado por ESET como el backdoor CapraRAT\u00a0 utilizando al menos dos sitios web similares que se presentan como versiones limpias de esas aplicaciones de mensajer\u00eda segura.<\/p>\nAdem\u00e1s de la funcionalidad de chat inherente de la aplicaci\u00f3n leg\u00edtima original, las versiones troyanizadas incluyen el backdoor CapraRAT. Este backdoor es capaz de realizar capturas de pantalla y tomar fotos, grabar llamadas telef\u00f3nicas y el audio circundante, y exfiltrar cualquier otra informaci\u00f3n confidencial del dispositivo<\/b>. El backdoor tambi\u00e9n puede recibir comandos de los atacantes para realizar distintas acciones en el dispositivo comprometido, como descargar archivos, realizar llamadas y enviar mensajes SMS<\/b>. La campa\u00f1a tiene un objetivo limitado y nada sugiere que estas aplicaciones alguna vez estuvieron disponibles en Google Play.<\/p>\n
Basado en el nombre de Android Package Kit (APK), la primera aplicaci\u00f3n maliciosa tiene como nombre de marca MeetsApp y afirma proporcionar comunicaciones de chat seguras. ESET encontr\u00f3 un sitio web desde el cual se podr\u00eda haber descargado esta muestra (meetsapp[.]org.<\/p>\n
Por Raed Abib Habib<\/p>\n
El an\u00e1lisis del sitio web de distribuci\u00f3n de MeetsApp mostr\u00f3 que algunos de sus recursos estaban alojados en otro servidor con un nombre de dominio similar, utilizando un nombre de servicio similar. Ese sitio tambi\u00e9n proporcion\u00f3 una aplicaci\u00f3n de mensajer\u00eda para Android, MeetUp, para descargar con el mismo nombre de paquete que para MeetsApp y con el mismo logotipo del sitio web.<\/p>\n
Antes de usar la aplicaci\u00f3n, las v\u00edctimas deben crear cuentas que est\u00e9n vinculadas a sus n\u00fameros de tel\u00e9fono y requieran la verificaci\u00f3n v\u00eda SMS. Una vez que se crea esta cuenta, la aplicaci\u00f3n solicita permisos adicionales que permiten que se despliegue la funcionalidad completa del backdoor, como acceder a contactos, registros de llamadas, mensajes SMS, almacenamiento externo y grabaci\u00f3n de audio.<\/p>\n
De acuerdo a la investigaci\u00f3n de ESET, las potenciales v\u00edctimas fueron enga\u00f1adas para instalar la aplicaci\u00f3n a trav\u00e9s de una operaci\u00f3n de estafa rom\u00e1ntica, donde lo m\u00e1s probable es que primero fueron contactados en una plataforma diferente y luego persuadidos para usar la aplicaci\u00f3n \u201cm\u00e1s segura\u201d\u00a0MeetsApp\u00a0o\u00a0MeetUp.<\/p>\n
Los puntos claves de la investigaci\u00f3n de ESET, son:<\/b><\/p>\n\n- La campa\u00f1a de Transparent Tribe se dirige principalmente a ciudadanos de India y Paquist\u00e1n, posiblemente aquellos con antecedentes militares o pol\u00edticos.<\/li>\n
- Distribuy\u00f3 el backdoor para Android \u201cCapraRAT\u201d a trav\u00e9s de aplicaciones troyanizadas de mensajer\u00eda y llamadas seguras bajo el nombre de MeetsApp y MeetUp. El backdoor puede exfiltrar cualquier informaci\u00f3n confidencial de los dispositivos de sus v\u00edctimas.<\/li>\n
- Estas aplicaciones troyanizadas estaban disponibles para su descarga desde sitios web que se hac\u00edan pasar por centros de distribuci\u00f3n oficiales. Desde ESET creen que se utiliz\u00f3 una estafa rom\u00e1ntica para atraer a los objetivos a estos sitios web.<\/li>\n
- La seguridad operativa deficiente en torno a estas aplicaciones expuso la informaci\u00f3n personal identificable del usuario, lo que permiti\u00f3 geolocalizar a 150 v\u00edctimas.<\/li>\n
- El backdoor CapraRAT fue alojado en un dominio que se resolvi\u00f3 en una direcci\u00f3n IP utilizada anteriormente por Transparent Tribe.<\/li>\n<\/ul>\n
\u201cLa campa\u00f1a apuntando a dispositivos m\u00f3viles operada por el grupo Transparent Tribe sigue activa y utiliza dos aplicaciones de mensajer\u00eda troyanizadas como cubierta para distribuir su backdoor para Android CapraRAT. Ambas aplicaciones se distribuyen a trav\u00e9s de dos sitios web similares que, seg\u00fan sus descripciones, brindan servicios seguros de mensajer\u00eda y llamadas. Los operadores de estas aplicaciones ten\u00edan una seguridad operativa deficiente, lo que provoc\u00f3 que la informaci\u00f3n personal identificable de la v\u00edctima quedara expuesta a nuestros investigadores a trav\u00e9s de Internet. Gracias a esto fue posible obtener alguna informaci\u00f3n sobre las v\u00edctimas.<\/i>\u201d, comenta Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.<\/p>\n
Para conocer m\u00e1s sobre seguridad inform\u00e1tica visite el portal de noticias de ESET: https:\/\/www.welivesecurity.com\/la-es\/2023\/03\/07\/grupo-transparent-tribe-utiliza-apps-mensajeria-modificadas-espionaje\/<\/a><\/p>\nPor Raed Abib Habib<\/p>\n","protected":false},"excerpt":{"rendered":"
Por Raed Abib Habib El equipo de investigaci\u00f3n de ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, analiz\u00f3 una campa\u00f1a de ciberespionaje que ha estado distribuyendo backdoors (troyano que permite el acceso al sistema infectado y su control remoto) a trav\u00e9s de aplicaciones de mensajer\u00eda para Android troyanizadas, exfiltrando informaci\u00f3n confidencial. Durante la investigaci\u00f3n se […]<\/p>\n","protected":false},"author":2,"featured_media":15796,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[93,146,2],"tags":[9937],"wppr_data":{"cwp_meta_box_check":"No"},"_links":{"self":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/15790"}],"collection":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/comments?post=15790"}],"version-history":[{"count":1,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/15790\/revisions"}],"predecessor-version":[{"id":15797,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/15790\/revisions\/15797"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media\/15796"}],"wp:attachment":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media?parent=15790"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/categories?post=15790"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/tags?post=15790"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}