Uma nova investigação da Kaspersky revela que há um novo spyware para Android distribuído pelo grupo ATP Transparent Tribe, na Índia, que se faz passar por aplicações oficiais de rastreamento da COVID-19, mas também por apps de conteúdo para adultos.

Em comunicado, a empresa, que tem vindo a motorizar o grupo de atacantes há quatro anos, indica que o Transparent Tribe tem estado a trabalhar ativamente na melhoria das suas ferramentas e do seu alcance para incluir ameaças em dispositivos móveis.

Durante a investigação sobre o Transparent Tribe, a Kaspersky encontrou um implante de Android utilizado para espiar dispositivos móveis nos ataques que difundiu na Índia, servindo-se de aplicações falsas de rastreio à COVID-19 e de pornografia. A ligação entre o grupo e as duas aplicações foi feita através de domínios relacionados que o grupo utilizava para alojar ficheiros maliciosos para diferentes campanhas.

A primeira aplicação infetada chama-se "Aarogya Setu" e é semelhante à aplicação móvel para rastreio da COVID-19, desenvolvida pelo Centro Nacional de Informática do Governo da Índia, que faz parte do Ministério da Eletrónica e das Tecnologias de Informação. Já a segunda trata-se de uma versão modificada de um simples leitor de vídeo de código aberto para Android que, quando instalado, exibe um vídeo para adultos como distração.

Quando são descarregadas, as aplicações tentam instalar outro ficheiro Android, uma versão modificada da Ferramenta de Acesso Remoto do Android (RAT) AhMyth - um malware de código aberto descarregável a partir do GitHub, que foi construído ao ligar uma carga útil maliciosa a outras aplicações legítimas.

A versão modificada do malware inclui novas características adicionadas pelos hackers para melhorar a exfiltração de dados, tais como o roubo de imagens da câmara. A aplicação é capaz de descarregar novas apps para o telefone, aceder a mensagens SMS, ao microfone, ao registo de chamadas, localização do dispositivo, e listar e carregar ficheiros para um servidor externo a partir do telefone.