偽のYouTubeアプリを使用してAndroidデバイスを感染させるハッカー

APT36ハッキンググループ、別名「透明な部族」は、YouTubeを模倣した悪意のあるAndroidアプリを使用して、ターゲットのデバイスをモバイルリモートアクセス型トロイの木馬（RAT）「CapraRAT」で感染させていることが発見されました。

知らない方のために、APT36（または透明な部族）は、主に悪意のあるAndroidアプリを使用してインドの防衛および政府機関、カシミール地域に関与する組織、ならびにパキスタンに関連する問題に取り組む人権活動家を攻撃することで知られる、パキスタンに関連する疑いのあるハッキンググループです。

サイバーセキュリティ会社SentinelLabsは、透明な部族のCapraRATに関連する3つのAndroidアプリケーションパッケージ（APK）を特定することができ、これらはYouTubeの外観を模倣していました。

「CapraRATは、感染したAndroidデバイス上の多くのデータを攻撃者に制御させる非常に侵入的なツールです」と、SentinelLabsのセキュリティ研究者アレックス・デラモットは月曜日の分析で述べました。

研究者によると、悪意のあるAPKはAndroidのGoogle Playストアを通じて配布されておらず、被害者はおそらく第三者のソースからアプリをダウンロードしてインストールするように社会工学的に仕向けられています。

3つのAPKの分析により、CapraRATトロイの木馬が含まれており、2023年の4月、7月、8月にVirusTotalにアップロードされたことが明らかになりました。2つのCapraRAT APKは「YouTube」と名付けられ、1つは「Piya Sharma」と名付けられ、アプリケーションをインストールさせるためのロマンスベースの社会工学的手法に使用される可能性のあるチャンネルに関連しています。

アプリのリストは以下の通りです：

• Base.media.service

• moves.media.tubes

• videos.watchs.share

インストール中、アプリは多くのリスクのある権限を要求し、その中には被害者にとってYouTubeのようなメディアストリーミングアプリには無害に見えるものもあり、疑いを持たずに扱われることがあります。

悪意のあるアプリのインターフェースは、Googleの本物のYouTubeアプリを模倣しようとしますが、トロイの木馬化されたアプリ内のWebViewを使用してサービスを読み込むため、アプリというよりもウェブブラウザのように見えます。また、正当なネイティブAndroid YouTubeアプリで利用可能な特定の機能や機能が欠けていました。

CapraRATが被害者のデバイスにインストールされると、マイクや前面および背面カメラでの録音、SMSやマルチメディアメッセージの内容や通話履歴の収集、SMSメッセージの送信、受信SMSのブロック、電話の発信、スクリーンキャプチャの取得、GPSやネットワークなどのシステム設定の上書き、電話のファイルシステム上のファイルの変更など、さまざまなアクションを実行できます。

SentinelLabsによると、現在のキャンペーン中に発見された最近のCapraRATバリアントは、透明な部族によるマルウェアの継続的な開発を示しています。

帰属に関しては、CapraRATが通信するコマンドおよびコントロール（C2）サーバーのIPアドレスはアプリの設定ファイルにハードコーディングされており、ハッキンググループの過去の活動に関連付けられています。

ただし、一部のIPアドレスは他のRATキャンペーンに関連付けられており、これらの脅威アクターと透明な部族との正確な関係は不明のままです。

「透明な部族は、信頼できる習慣を持つ永続的なアクターです。比較的低い運用セキュリティのハードルにより、彼らのツールの迅速な特定が可能です。

インドおよびパキスタン地域の外交、軍事、または活動家に関連する個人や組織は、このアクターおよび脅威に対する防御を評価する必要があります」とデラモットは結論付けました。