Des hackers utilisent de fausses applications YouTube pour infecter les appareils Android

Le groupe de hackers APT36, également connu sous le nom de « Transparent Tribe », a été découvert en utilisant des applications Android malveillantes imitant YouTube pour infecter les appareils de leurs cibles avec le cheval de Troie d’accès à distance mobile (RAT) appelé « CapraRAT ».

Pour ceux qui ne le savent pas, APT36 (ou Transparent Tribe) est un groupe de hackers soupçonné d’être lié au Pakistan, principalement connu pour utiliser des applications Android malveillantes pour attaquer les agences de défense et les organismes gouvernementaux indiens, ainsi que les organisations impliquées dans la région du Cachemire, et les militants des droits de l’homme travaillant sur des questions liées au Pakistan.

SentinelLabs, une entreprise de cybersécurité, a pu identifier trois paquets d’applications Android (APK) liés à CapraRAT de Transparent Tribe, qui imitaient l’apparence de YouTube.

« CapraRAT est un outil hautement invasif qui donne à l’attaquant le contrôle sur une grande partie des données des appareils Android qu’il infecte », a écrit le chercheur en sécurité de SentinelLabs, Alex Delamotte, dans une analyse lundi.

Selon les chercheurs, les APK malveillants ne sont pas distribués via le Google Play Store d’Android, ce qui signifie que les victimes sont très probablement manipulées socialement pour télécharger et installer l’application à partir d’une source tierce.

L’analyse des trois APK a révélé qu’ils contenaient le cheval de Troie CapraRAT et avaient été téléchargés sur VirusTotal en avril, juillet et août 2023. Deux des APK CapraRAT étaient nommés « YouTube », et un était nommé « Piya Sharma », associé à une chaîne potentiellement utilisée pour des techniques de manipulation sociale basées sur la romance pour convaincre les cibles d’installer les applications.

La liste des applications est la suivante :

• Base.media.service

• moves.media.tubes

• videos.watchs.share

Lors de l’installation, les applications demandent un certain nombre de permissions risquées, dont certaines peuvent initialement sembler inoffensives pour la victime pour une application de streaming média comme YouTube et être traitées sans suspicion.

L’interface des applications malveillantes tente d’imiter la véritable application YouTube de Google mais ressemble davantage à un navigateur web qu’à une application en raison de l’utilisation de WebView à partir de l’application trojanisée pour charger le service. Elles manquaient également de certaines fonctionnalités et fonctions disponibles dans la véritable application YouTube native d’Android.

Une fois CapraRAT installé sur l’appareil de la victime, il peut effectuer diverses actions telles que l’enregistrement avec le microphone, les caméras avant et arrière, la collecte de contenus de SMS et de messages multimédias et de journaux d’appels, l’envoi de messages SMS, le blocage de SMS entrants, l’initiation d’appels téléphoniques, la capture d’écran, la modification des paramètres système tels que GPS et Réseau, et la modification de fichiers sur le système de fichiers du téléphone.

Selon SentinelLabs, les récentes variantes de CapraRAT trouvées lors de la campagne actuelle indiquent un développement continu du malware par Transparent Tribe.

Concernant l’attribution, les adresses IP des serveurs de commande et de contrôle (C2) avec lesquels CapraRAT communique sont codées en dur dans le fichier de configuration de l’application et ont été liées à des activités passées du groupe de hackers.

Cependant, certaines adresses IP étaient liées à d’autres campagnes de RAT, bien que la relation exacte entre ces acteurs de menace et Transparent Tribe reste floue.

« Transparent Tribe est un acteur pérenne avec des habitudes fiables. Le niveau de sécurité opérationnelle relativement bas permet une identification rapide de leurs outils.

Les individus et les organisations liés à des questions diplomatiques, militaires ou militantes dans les régions de l’Inde et du Pakistan devraient évaluer la défense contre cet acteur et cette menace », a conclu Delamotte.