Hacker che usano app false di YouTube per infettare dispositivi Android

Il gruppo di hacking APT36, noto anche come ‘Transparent Tribe’, è stato scoperto mentre utilizzava app Android dannose che imitano YouTube per infettare i dispositivi delle loro vittime con il trojan di accesso remoto mobile (RAT) chiamato ‘CapraRAT’.

Per chi non lo sapesse, APT36 (o Transparent Tribe) è un gruppo di hacking sospettato di essere legato al Pakistan, principalmente noto per l’uso di app Android dannose per attaccare agenzie governative e di difesa indiane, organizzazioni coinvolte nella regione del Kashmir, così come attivisti per i diritti umani che lavorano su questioni relative al Pakistan.

SentinelLabs, un’azienda di cybersecurity, è stata in grado di identificare tre pacchetti di applicazioni Android (APK) collegati a CapraRAT di Transparent Tribe, che mimavano l’aspetto di YouTube.

“CapraRAT è uno strumento altamente invasivo che dà all’attaccante il controllo su gran parte dei dati sui dispositivi Android che infetta,” ha scritto il ricercatore di sicurezza di SentinelLabs, Alex Delamotte, in un’analisi lunedì.

Secondo i ricercatori, gli APK dannosi non sono distribuiti attraverso il Google Play Store di Android, il che significa che le vittime sono molto probabilmente ingannate socialmente per scaricare e installare l’app da una fonte di terze parti.

L’analisi dei tre APK ha rivelato che contenevano il trojan CapraRAT e sono stati caricati su VirusTotal ad aprile, luglio e agosto 2023. Due degli APK di CapraRAT erano denominati ‘YouTube’, e uno era chiamato ‘Piya Sharma’, associato a un canale potenzialmente utilizzato per tecniche di ingegneria sociale basate sul romanticismo per convincere le vittime a installare le applicazioni.

L’elenco delle app è il seguente:

• Base.media.service

• moves.media.tubes

• videos.watchs.share

Durante l’installazione, le app richiedono un numero di autorizzazioni rischiose, alcune delle quali potrebbero inizialmente apparire innocue per la vittima per un’app di streaming multimediale come YouTube e trattarle senza sospetti.

L’interfaccia delle app dannose tenta di imitare la vera app YouTube di Google ma appare più simile a un browser web che a un’app a causa dell’uso di WebView all’interno dell’app trojanizzata per caricare il servizio. Mancarono anche alcune funzionalità e funzioni disponibili nell’app nativa Android YouTube legittima.

Una volta che CapraRAT è installato sul dispositivo della vittima, può eseguire varie azioni come registrare con il microfono, le fotocamere frontale e posteriore, raccogliere contenuti di SMS e messaggi multimediali e registri delle chiamate, inviare messaggi SMS, bloccare SMS in arrivo, avviare chiamate telefoniche, catturare schermate, sovrascrivere impostazioni di sistema come GPS e rete, e modificare file nel filesystem del telefono.

Secondo SentinelLabs, le recenti varianti di CapraRAT trovate durante la campagna attuale indicano uno sviluppo continuo del malware da parte di Transparent Tribe.

Per quanto riguarda l’attribuzione, gli indirizzi IP dei server di comando e controllo (C2) con cui CapraRAT comunica sono hardcoded nel file di configurazione dell’app e sono stati collegati ad attività passate del gruppo di hacking.

Tuttavia, alcuni indirizzi IP sono stati collegati ad altre campagne RAT, sebbene la relazione esatta tra questi attori della minaccia e Transparent Tribe rimanga poco chiara.

“Transparent Tribe è un attore perenne con abitudini affidabili. La barra di sicurezza operativa relativamente bassa consente una rapida identificazione dei loro strumenti.

Individui e organizzazioni collegate a questioni diplomatiche, militari o attiviste nelle regioni dell’India e del Pakistan dovrebbero valutare la difesa contro questo attore e minaccia,” ha concluso Delamotte.