Transparent Tribe 为网络间谍活动部署新型 Android 间谍软件

Transparent Tribe是一个高级持续威胁（APT）小组，至少从2013年开始活跃，它已开始在其网络间谍活动中部署新的移动恶意软件工具。

Kaspersky研究人员本周报告说：“该组织利用伪装成几个流行应用程序的间谍软件，积极瞄准了印度的Android用户。”

一旦安装在系统上，就可以观察到该恶意软件下载了新的应用程序，并访问了SMS消息，通话记录和设备的麦克风。Kaspersky在星期三的一份报告中说：“透明部落的新的Android间谍软件工具还可以跟踪受感染设备的位置，并从该设备枚举文件并将其上传到远程攻击者控制的服务器。”

Kaspersky全球研究与分析团队的高级安全研究员Giampaolo Dedola说，现有数据表明，攻击者将Android软件包文件托管在特定的网站上，并通过社交工程吸引用户到这些位置。

根据Kaspersky的说法，Transparent Trib用来分发间谍软件的两个Android应用程序之一是一个开源视频播放器，安装后，该视频播放器提供了成人视频的功能，同时在后台安装了其他恶意软件。第二个应用程序伪装成“ Aarogya Setu”，这是由印度政府的国家信息中心开发的COVID-19跟踪应用程序。

这两个应用程序都尝试在受感染的系统上安装另一个Android软件包文件。该软件包是AhMyth的修改版本，AhMyth是一种开放源代码的Android远程访问工具（RAT），可从GitHub上免费下载。根据Kaspersky的说法，修改后的版本缺少原始版本的某些功能，例如能够从Android手机中窃取图片。但是，它还包含一些新功能，可以改善恶意软件的数据泄露功能。

Dedola说：“该恶意软件看起来很有趣，因为Transparent Tribe正在对其进行跟踪，并正在根据其需求修改代码。” “这可能意味着恶意软件将在以后的攻击中使用，防御者应密切注意这一威胁以防止感染。”

据Dedola称，Transparent Tribe的最新恶意软件突显了威胁组织不断扩展其工具集和操作。

高度活跃

Transparent Tribe（又名PROJECTM和MYTHIC LEOPARD）是一个高度活跃的威胁组织，主要针对印度军事，政府和外交目标。迄今为止，该组织的主要恶意软件是“Crimson RAT”，这是一种基于.NET的自定义RAT，它是通过带有嵌入式宏的恶意文档提供的。Kaspersky的研究人员还使用名为Peppy的另一种基于.NET和Python的RAT观察了该小组。

Kaspersky的一项分析–以及Proofpoint在2016年的另一项分析–发现Crimson是Transparent Tribe进行网络间谍活动的主要工具，至少到目前为止是这样。该多组件工具具有多种功能，包括使攻击者能够远程管理受感染计算机上的文件系统，上传或下载文件，捕获屏幕截图，记录击键，记录音频和视频以及窃取存储在其中的密码的功能。浏览器。在Crimson框架的组件中包括“ USB蠕虫”，Kaspersky称该工具能够从可移动驱动器窃取文件，并通过感染可移动介质传播到其他系统。

根据Dedola的说法，尽管“Transparent Tribe”是一个活跃的团体，但并不是特别复杂。该小组基于鱼叉式网络钓鱼电子邮件和带有嵌入式VBA代码的文档，使用了相当简单的感染链。该组织还倾向于重用开源恶意软件和漏洞利用程序。

Dedola指出：“使该小组特别危险的是活动的数量。” “自首次行动以来，他们从未停止过攻击，并且能够攻击数千名受害者，这些受害者可能与政府或军事组织有关。看来他们不需要零日漏洞利用或内核模式恶意软件即可实现他们的目标。”

在过去的一年中，观察到“Transparent Tribe”对阿富汗和其他多个国家的组织进行了有针对性的攻击。Dedola说，但这些国家的受害者很可能与印度和阿富汗有联系。

他说：“基于用于感染受害者的恶意文件和以前的袭击信息，我们知道他们针对的是军事人员和外交人员。” “我们认为，由于受害者的类型和使用为窃取信息而开发的间谍工具的使用，他们具有政治动机。”