Hackers Usando Aplicaciones Falsas de YouTube Para Infectar Dispositivos Android

El grupo de hackers APT36, también conocido como ‘Transparent Tribe’, ha sido descubierto utilizando aplicaciones maliciosas de Android que imitan a YouTube para infectar los dispositivos de sus objetivos con el troyano de acceso remoto móvil (RAT) llamado ‘CapraRAT’.

Para aquellos que no lo saben, APT36 (o Transparent Tribe) es un grupo de hackers sospechosamente vinculado a Pakistán, conocido principalmente por usar aplicaciones maliciosas de Android para atacar agencias de defensa y gobiernos indios, organizaciones involucradas con la región de Cachemira, así como activistas de derechos humanos que trabajan en asuntos relacionados con Pakistán.

SentinelLabs, una empresa de ciberseguridad, pudo identificar tres paquetes de aplicaciones de Android (APK) vinculados al CapraRAT de Transparent Tribe, que imitaban la apariencia de YouTube.

“CapraRAT es una herramienta altamente invasiva que le da al atacante control sobre gran parte de los datos en los dispositivos Android que infecta”, escribió el investigador de seguridad de SentinelLabs, Alex Delamotte, en un análisis el lunes.

Según los investigadores, los APK maliciosos no se distribuyen a través de la Google Play Store de Android, lo que significa que las víctimas son más propensas a ser engañadas socialmente para descargar e instalar la aplicación desde una fuente de terceros.

El análisis de los tres APK reveló que contenían el troyano CapraRAT y fueron subidos a VirusTotal en abril, julio y agosto de 2023. Dos de los APK de CapraRAT se llamaron ‘YouTube’, y uno se llamó ‘Piya Sharma’, asociado con un canal potencialmente utilizado para técnicas de ingeniería social basadas en el romance para convencer a los objetivos de instalar las aplicaciones.

La lista de aplicaciones es la siguiente:

• Base.media.service

• moves.media.tubes

• videos.watchs.share

Durante la instalación, las aplicaciones piden una serie de permisos arriesgados, algunos de los cuales pueden parecer inofensivos para la víctima en una aplicación de transmisión de medios como YouTube y se tratan sin sospechas.

La interfaz de las aplicaciones maliciosas intenta imitar la verdadera aplicación de YouTube de Google, pero parece más un navegador web que una aplicación debido al uso de WebView desde dentro de la aplicación troyanizada para cargar el servicio. También carecían de ciertas características y funciones disponibles en la legítima aplicación nativa de YouTube para Android.

Una vez que CapraRAT está instalado en el dispositivo de la víctima, puede realizar varias acciones como grabar con el micrófono, cámaras frontal y trasera, recopilar contenidos de SMS y mensajes multimedia y registros de llamadas, enviar mensajes SMS, bloquear SMS entrantes, iniciar llamadas telefónicas, tomar capturas de pantalla, anular configuraciones del sistema como GPS y Red, y modificar archivos en el sistema de archivos del teléfono.

Según SentinelLabs, las recientes variantes de CapraRAT encontradas durante la campaña actual indican un desarrollo continuo del malware por parte de Transparent Tribe.

En cuanto a la atribución, las direcciones IP de los servidores de comando y control (C2) con los que CapraRAT se comunica están codificadas en el archivo de configuración de la aplicación y se han vinculado con actividades pasadas del grupo de hackers.

Sin embargo, algunas direcciones IP estaban vinculadas a otras campañas de RAT, aunque la relación exacta entre estos actores de amenazas y Transparent Tribe sigue siendo incierta.

“Transparent Tribe es un actor perenne con hábitos confiables. La relativamente baja barra de seguridad operativa permite una identificación rápida de sus herramientas.

Las personas y organizaciones conectadas a asuntos diplomáticos, militares o activistas en las regiones de India y Pakistán deberían evaluar la defensa contra este actor y amenaza”, concluyó Delamotte.