Hacker verwenden gefälschte YouTube-Apps, um Android-Geräte zu infizieren

Die APT36-Hackergruppe, auch bekannt als ‚Transparent Tribe‘, wurde entdeckt, wie sie bösartige Android-Apps verwendet, die YouTube imitieren, um die Geräte ihrer Ziele mit dem mobilen Remote Access Trojan (RAT) namens ‚CapraRAT‘ zu infizieren.

Für diejenigen, die es nicht wissen, APT36 (oder Transparent Tribe) ist eine verdächtige, mit Pakistan verbundene Hackergruppe, die hauptsächlich dafür bekannt ist, bösartige Android-Apps zu verwenden, um indische Verteidigungs- und Regierungsbehörden, Organisationen, die mit der Region Kaschmir zu tun haben, sowie Menschenrechtsaktivisten, die sich mit Angelegenheiten im Zusammenhang mit Pakistan befassen, anzugreifen.

SentinelLabs, ein Cybersicherheitsunternehmen, konnte drei Android-Anwendungspakete (APK) identifizieren, die mit CapraRAT von Transparent Tribe verbunden sind und das Erscheinungsbild von YouTube nachahmten.

„CapraRAT ist ein hochgradig invasives Werkzeug, das dem Angreifer die Kontrolle über einen Großteil der Daten auf den Android-Geräten gibt, die es infiziert“, schrieb der Sicherheitsforscher von SentinelLabs, Alex Delamotte, in einer Analyse am Montag.

Laut den Forschern werden die bösartigen APKs nicht über den Google Play Store von Android verteilt, was bedeutet, dass die Opfer höchstwahrscheinlich sozial manipuliert werden, um die App aus einer Drittanbieterquelle herunterzuladen und zu installieren.

Die Analyse der drei APKs ergab, dass sie den CapraRAT-Trojaner enthielten und im April, Juli und August 2023 auf VirusTotal hochgeladen wurden. Zwei der CapraRAT-APKs trugen den Namen ‚YouTube‘, und eine wurde ‚Piya Sharma‘ genannt, die mit einem Kanal in Verbindung gebracht wird, der möglicherweise für romantische sozialtechnische Techniken verwendet wird, um Ziele zu überzeugen, die Anwendungen zu installieren.

Die Liste der Apps lautet wie folgt:

• Base.media.service

• moves.media.tubes

• videos.watchs.share

Während der Installation fragen die Apps nach einer Reihe riskanter Berechtigungen, von denen einige für das Opfer zunächst harmlos erscheinen könnten, für eine Medien-Streaming-App wie YouTube, und werden ohne Verdacht behandelt.

Die Benutzeroberfläche der bösartigen Apps versucht, die echte YouTube-App von Google nachzuahmen, sieht jedoch eher wie ein Webbrowser als wie eine App aus, da die Verwendung von WebView innerhalb der trojanisierten App den Dienst lädt. Ihnen fehlten auch bestimmte Funktionen und Merkmale, die in der legitimen nativen Android YouTube-App verfügbar sind.

Sobald CapraRAT auf dem Gerät des Opfers installiert ist, kann es verschiedene Aktionen ausführen, wie z. B. Aufnahmen mit dem Mikrofon, der Front- und Rückkamera, das Sammeln von SMS- und Multimedia-Nachrichteninhalten und Anrufprotokollen, das Senden von SMS-Nachrichten, das Blockieren eingehender SMS, das Initiieren von Telefonanrufen, das Erstellen von Bildschirmaufnahmen, das Überschreiben von Systemeinstellungen wie GPS & Netzwerk und das Ändern von Dateien im Dateisystem des Telefons.

Laut SentinelLabs deuten die aktuellen CapraRAT-Varianten, die während der aktuellen Kampagne gefunden wurden, auf eine kontinuierliche Entwicklung der Malware durch Transparent Tribe hin.

Was die Attribution betrifft, sind die IP-Adressen der Command-and-Control (C2)-Server, mit denen CapraRAT kommuniziert, im Konfigurationsdatei der App hardcodiert und wurden mit früheren Aktivitäten der Hackergruppe in Verbindung gebracht.

Einige IP-Adressen wurden jedoch mit anderen RAT-Kampagnen in Verbindung gebracht, obwohl die genaue Beziehung zwischen diesen Bedrohungsakteuren und Transparent Tribe unklar bleibt.

„Transparent Tribe ist ein beständiger Akteur mit zuverlässigen Gewohnheiten. Die relativ niedrige operative Sicherheitsbarriere ermöglicht eine schnelle Identifizierung ihrer Werkzeuge.

Einzelpersonen und Organisationen, die mit diplomatischen, militärischen oder aktivistischen Angelegenheiten in den Regionen Indien und Pakistan verbunden sind, sollten ihre Verteidigung gegen diesen Akteur und diese Bedrohung bewerten“, schloss Delamotte.