Hackers Usando Aplicativos Falsos do YouTube Para Infectar Dispositivos Android

O grupo de hackers APT36, também conhecido como ‘Transparent Tribe’, foi descoberto usando aplicativos Android maliciosos que imitam o YouTube para infectar os dispositivos de suas vítimas com o trojan de acesso remoto móvel (RAT) chamado ‘CapraRAT’.

Para quem não sabe, APT36 (ou Transparent Tribe) é um grupo de hackers suspeito de estar ligado ao Paquistão, conhecido principalmente por usar aplicativos Android maliciosos para atacar agências de defesa e governo da Índia, organizações envolvidas com a região da Caxemira, bem como ativistas de direitos humanos que trabalham em questões relacionadas ao Paquistão.

A SentinelLabs, uma empresa de cibersegurança, conseguiu identificar três pacotes de aplicativos Android (APK) ligados ao CapraRAT do Transparent Tribe, que imitavam a aparência do YouTube.

“CapraRAT é uma ferramenta altamente invasiva que dá ao atacante controle sobre grande parte dos dados nos dispositivos Android que infecta”, escreveu o pesquisador de segurança da SentinelLabs, Alex Delamotte, em uma análise na segunda-feira.

De acordo com os pesquisadores, os APKs maliciosos não são distribuídos através da Google Play Store do Android, o que significa que as vítimas provavelmente são manipuladas socialmente para baixar e instalar o aplicativo de uma fonte de terceiros.

A análise dos três APKs revelou que eles continham o trojan CapraRAT e foram enviados ao VirusTotal em abril, julho e agosto de 2023. Dois dos APKs do CapraRAT foram nomeados ‘YouTube’, e um foi nomeado ‘Piya Sharma’, associado a um canal potencialmente usado para técnicas de engenharia social baseadas em romance para convencer as vítimas a instalar os aplicativos.

A lista de aplicativos é a seguinte:

• Base.media.service

• moves.media.tubes

• videos.watchs.share

Durante a instalação, os aplicativos pedem uma série de permissões arriscadas, algumas das quais podem inicialmente parecer inofensivas para a vítima, como um aplicativo de streaming de mídia como o YouTube, e são tratadas sem suspeita.

A interface dos aplicativos maliciosos tenta imitar o verdadeiro aplicativo do YouTube do Google, mas parece mais com um navegador da web do que um aplicativo devido ao uso do WebView dentro do aplicativo trojanizado para carregar o serviço. Eles também careciam de certos recursos e funções disponíveis no aplicativo nativo legítimo do YouTube para Android.

Uma vez que o CapraRAT está instalado no dispositivo da vítima, ele pode realizar várias ações, como gravar com o microfone, câmeras frontal e traseira, coletar conteúdos de SMS e mensagens multimídia e registros de chamadas, enviar mensagens SMS, bloquear SMS recebidos, iniciar chamadas telefônicas, tirar capturas de tela, substituir configurações do sistema, como GPS e Rede, e modificar arquivos no sistema de arquivos do telefone.

De acordo com a SentinelLabs, as variantes recentes do CapraRAT encontradas durante a campanha atual indicam um desenvolvimento contínuo do malware pelo Transparent Tribe.

Quanto à atribuição, os endereços IP dos servidores de comando e controle (C2) com os quais o CapraRAT se comunica estão codificados no arquivo de configuração do aplicativo e foram vinculados a atividades passadas do grupo de hackers.

No entanto, alguns endereços IP foram vinculados a outras campanhas de RAT, embora a relação exata entre esses atores de ameaça e o Transparent Tribe permaneça incerta.

“O Transparent Tribe é um ator perene com hábitos confiáveis. A barra de segurança operacional relativamente baixa permite a rápida identificação de suas ferramentas.

Indivíduos e organizações conectados a questões diplomáticas, militares ou ativistas nas regiões da Índia e Paquistão devem avaliar a defesa contra esse ator e ameaça”, concluiu Delamotte.