Santo Domingo, 9 de marzo de 2023. El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, analizó una campaña de ciberespionaje que ha estado distribuyendo backdoors (troyano que permite el acceso al sistema infectado y su control remoto) a través de aplicaciones de mensajería para Android troyanizadas, exfiltrando información confidencial.
Durante la investigación se identificó información.
La campaña activa fue atribuida por ESET al grupo conocido como Transparent Tribe, y es dirigida principalmente a usuarios de Android. Las víctimas probablemente fueron atacadas a través de una estafa romántica, donde inicialmente fueron contactadas en otra plataforma y luego convencidas de usar aplicaciones supuestamente “más seguras” que terminaron instalando en sus dispositivos.
Además de la funcionalidad de chat inherente de la aplicación legítima original, las versiones troyanizadas incluyen el backdoor CapraRAT. Este backdoor es capaz de realizar capturas de pantalla y tomar fotos, grabar llamadas telefónicas y el audio circundante, y exfiltrar cualquier otra información confidencial del dispositivo. El backdoor también puede recibir comandos de los atacantes para realizar distintas acciones en el dispositivo comprometido, como descargar archivos, realizar llamadas y enviar mensajes SMS. La campaña tiene un objetivo limitado y nada sugiere que estas aplicaciones alguna vez estuvieron disponibles en Google Play.
Antes de usar la aplicación, las víctimas deben crear cuentas que estén vinculadas a sus números de teléfono y requieran la verificación vía SMS. Una vez que se crea esta cuenta, la aplicación solicita permisos adicionales que permiten que se despliegue la funcionalidad completa del backdoor, como acceder a contactos, registros de llamadas, mensajes SMS, almacenamiento externo y grabación de audio.
“La campaña apuntando a dispositivos móviles operada por el grupo Transparent Tribe sigue activa y utiliza dos aplicaciones de mensajería troyanizadas como cubierta para distribuir su backdoor para Android CapraRAT. Ambas aplicaciones se distribuyen a través de dos sitios web similares que, según sus descripciones, brindan servicios seguros de mensajería y llamadas. Los operadores de estas aplicaciones tenían una seguridad operativa deficiente, lo que provocó que la información personal identificable de la víctima quedara expuesta a nuestros investigadores a través de Internet. Gracias a esto fue posible obtener alguna información sobre las víctimas”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.