Hackers baseados no Paquistão usaram um malware com base em Android durante uma campanha de seis anos visando o governo da Índia, bem como empresas indianas ligadas aos setores de defesa e tecnologia.
A campanha continua ativa, segundo pesquisadores da Cisco Talos, e envolve o uso de um malware chamado GravityRAT que permite que hackers roubem informações. Em relatório divulgado quinta-feira, os pesquisadores chamam a campanha de “Operação Força Celestial”.
Desde 2019, Cisco Talos disse ter observado que os hackers adicionam continuamente recursos ao GravityRAT que lhes permitem roubar dados do dispositivo, como o número de identidade internacional do equipamento móvel, números de telefone, operações de rede, informações do SIM e localização do dispositivo.
A Cisco destacou anteriormente o uso do GravityRAT por hackers paquistaneses contra alvos na Índia em 2018.
O malware também permite que os hackers leiam mensagens de texto, roubem arquivos do dispositivo, leiam registros de chamadas e excluam todos os contatos.
Os hackers distribuem o GravityRAT por meio de sites maliciosos, alguns dos quais foram registrados até janeiro de 2024. Os sites pretendem oferecer aplicativos Android legítimos.
Os hackers por trás dos ataques fazem parte de um grupo chamado pelos pesquisadores de “Leopardo Cósmico”, que se concentra principalmente em espionagem e vigilância.
“Embora esta operação esteja ativa pelo menos nos últimos seis anos, a Talos observou um aumento geral no cenário de ameaças nos últimos anos, no que diz respeito ao uso de malware móvel para espionagem visando alvos de alto valor, incluindo o uso de spyware comercial”, disseram os pesquisadores do Cisco Talos.
Além do malware GravityRAT, a campanha “Operation Celestial Force” usou um “conjunto de malware em expansão e evolução”, que Cisco Talos disse ser uma evidência de que os hackers “obtiveram um alto grau de sucesso visando usuários no subcontinente indiano”.
A expansão inclui a família de malware HeavyLift, que permite aos hackers baixar e instalar outros recursos maliciosos no dispositivo da vítima.
Segundo os pesquisadores, “Esta campanha utiliza principalmente dois vetores de infecção, o "spear phishing" e "engenharia social". O spear phishing consiste em mensagens enviadas a alvos com linguagem pertinente e maldocs que contêm malware como o GravityRAT”.
“O outro vetor de infecção, que ganhou popularidade nesta operação, e agora se tornou uma tática básica das operações do Leopardo Cósmico, consiste em entrar em contato com os alvos através de canais de mídia social, estabelecer confiança com eles e, eventualmente, enviar um link malicioso para baixar o arquivo.
As atividades do Cosmic Leopard se sobrepõem ás do Transparent Tribe, outro grupo de hackers paquistanês. A Transparent Tribe esteve envolvida em várias campanhas direcionadas a instituições de ensino, governamental e militar da Índia , bem como organizações em todo o Afeganistão .
No passado, o Transparent Tribe teve como alvo cidadãos indianos e paquistaneses com malware focado no Android, projetado para gravar chamadas telefônicas, roubar fotos e muito mais. A Cisco Talos disse que não tinha evidências técnicas suficientes para vincular a campanha de seis anos à Transparent Tribe, razão pela qual a rotularam com o nome Cosmic Leopard.
Via - TRM
Comments