Yaşanan salgın toplumsal mühendislik usullerinden yararlanan tehdit kümeleri tarafından sıklıkla kullanılan bir mevzu haline geldi ve bugün hala kullanılmaya devam ediyor. Uzmanların dört yıldan fazla müddettir takip ettiği Transparent Tribe isimli tehdit kümesi da akınlarında bu mevzudan sıkça faydalanıyor.
Elde edilen son bulgular, kümenin araç setini genişletmek ve taşınabilir aygıtlara erişmeye çalıştığını gösteriyor. Transparent Tribe kümesine yönelik araştırma sırasında, Kaspersky araştırmacıları tehdit kümesinin taşınabilir aygıtları gizlice izlemek için kullandığı yeni bir Android ziyanlı yazılımını keşfetti. Bu yazılım Hindistan’da porno içerikleri ve düzmece ulusal COVID-19 takip uygulamalarını taklit ediyordu. Bu iki uygulama ile küme ortasındaki münasebet, farklı ataklarda ziyanlı evrakları saklamak için kullanılan alan isimlerinin birebir olmasıyla anlaşıldı.
Birinci uygulama, Android için açık kaynaklı bir görüntü oynatıcısının farklı bir sürümüydü. Uygulama kurulduğunda, dikkat çekmek için yetişkinlere yönelik görüntüler gösteriyordu. “Aarogya Setu” isimli başka uygulama ise Hindistan Elektronik ve Bilgi Teknolojisi Bakanlığı bünyesindeki Ulusal Bilişim Merkezi’nin geliştirdiği COVID-19 takip uygulamasına benziyordu.
Her iki uygulama da kurulduklarında diğer bir Android evrak paketini kurmaya çalışıyor. Bu paket, AhMyth isimli Android uzaktan erişim aracının yeni bir versiyonu. GitHub’dan indirilebilen açık kaynaklı bir ziyanlı yazılım olan AhMyth, yasal uygulamaların içine ziyanlı kısımlar ekleyerek geliştiriliyor.
Ziyanlı yazılımın yenilenen sürümü ise standart sürümden farklı fonksiyonlar gösteriyor. Saldırganların daha fazla bilgi sızdırabilmesi için yeni özellikler taşıyan yazılımda kameradan fotoğraf çalma üzere temel özellikler ise yer almıyor. Bu uygulama telefona yeni uygulamalar indirebiliyor, SMS’lere, mikrofona ve arama kayıtlarına erişebiliyor, aygıtın pozisyonunu takip edebiliyor ve telefondan kimi evrakları öbür bir sunucuya aktarabiliyor.
Şirketin Küresel Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Giampaolo Dedola, “Yeni bulgular Transparent Tribe üyelerinin yeni araçlarla operasyonlarını daha da genişletmeye çalıştığını ve taşınabilir aygıtlar da dahil olmak üzere kurbanlara farklı taarruz vektörlerinden yaklaştıklarını gösteriyor. Ayrıyeten kümenin kullandığı araçları daima geliştirmeye ve değiştirmeye çalıştığını da görüyoruz. Bu cins tehditlerden korunmak için kullanıcıların içerik indirdikleri kaynaklara her zamankinden de fazla dikkat etmesi ve aygıtlarının korunduğundan emin olması gerekiyor. APT saldırısının amacı olabileceğini bilenlerin buna itina göstermesi koşul.” dedi.
