Applicazioni di messaggistica infette: la minaccia arriva dal Pakistan

Il gruppo di cyber-spionaggio Transparent Tribe APT sta utilizzando applicazioni di messaggistica Android infette per distribuire backdoor CapraRAT, con l’intento di rubare informazioni sensibili a cittadini indiani e pakistani, probabilmente con un’attività militare o politica. I ricercatori di ESET hanno individuato una campagna di cyber-attacco che sembra essere attiva dal luglio 2022, nella quale le vittime vengono contattate tramite una trappola amorosa, per poi convincerle a utilizzare app “più sicure” che in realtà nascondono malware. I backdoor CapraRAT possono prendere screenshot, registrare chiamate e audio circostante, scaricare file, inviare SMS e, in generale, esfiltrare qualsiasi informazione sensibile. La campagna di attacco è molto mirata e non sembra essere stata diffusa attraverso Google Play. Le app infette sono distribuite attraverso due siti web simili, che si presentano come i centri ufficiali di distribuzione delle applicazioni, richiedono la creazione di un account associato al numero di telefono e richiedono l’autorizzazione di accesso ai contatti, ai log delle chiamate, ai messaggi SMS, alla memoria esterna e alla registrazione audio per il corretto funzionamento del backdoor. Il gruppo Transparent Tribe utilizza verosimilmente l’inganno della trappola amorosa per mantenere le vittime sulla piattaforma e renderle accessibili all’attaccante.