Хакеры используют поддельные приложения YouTube для заражения устройств Android

Группа хакеров APT36, также известная как «Прозрачное племя», была обнаружена использующей вредоносные приложения для Android, имитирующие YouTube, чтобы заразить устройства своих целей мобильным трояном удаленного доступа (RAT) под названием «CapraRAT».

Для тех, кто не в курсе, APT36 (или Прозрачное племя) — это подозреваемая группа хакеров, связанная с Пакистаном, известная в первую очередь использованием вредоносных приложений для Android для атак на индийские оборонные и государственные учреждения, организации, связанные с регионом Кашмир, а также на активистов прав человека, работающих по вопросам, связанным с Пакистаном.

Компания SentinelLabs, занимающаяся кибербезопасностью, смогла идентифицировать три пакета приложений для Android (APK), связанных с CapraRAT от Прозрачного племени, которые имитировали внешний вид YouTube.

«CapraRAT — это высокоинвазивный инструмент, который дает атакующему контроль над большей частью данных на зараженных устройствах Android», — написал исследователь безопасности SentinelLabs Алекс Деламотт в анализе в понедельник.

Согласно исследователям, вредоносные APK не распространяются через Google Play Store для Android, что означает, что жертвы, скорее всего, были социально спроектированы для загрузки и установки приложения из стороннего источника.

Анализ трех APK показал, что они содержали троян CapraRAT и были загружены на VirusTotal в апреле, июле и августе 2023 года. Два из APK CapraRAT были названы «YouTube», а один — «Piya Sharma», связанный с каналом, потенциально используемым для социальных инженерных техник, основанных на романтике, чтобы убедить цели установить приложения.

Список приложений выглядит следующим образом:

• Base.media.service

• moves.media.tubes

• videos.watchs.share

Во время установки приложения запрашивают ряд рискованных разрешений, некоторые из которых могут изначально показаться безобидными для жертвы, как для приложения потокового медиа, такого как YouTube, и воспринимаются без подозрений.

Интерфейс вредоносных приложений пытается имитировать настоящее приложение YouTube от Google, но больше напоминает веб-браузер, чем приложение, из-за использования WebView внутри троянского приложения для загрузки сервиса. Они также не имели определенных функций и возможностей, доступных в легитимном нативном приложении YouTube для Android.

Как только CapraRAT установлен на устройстве жертвы, он может выполнять различные действия, такие как запись с микрофона, передней и задней камер, сбор содержимого SMS и мультимедийных сообщений и журналов вызовов, отправка SMS-сообщений, блокировка входящих SMS, инициирование телефонных звонков, создание снимков экрана, переопределение системных настроек, таких как GPS и сеть, и модификация файлов в файловой системе телефона.

Согласно SentinelLabs, недавние варианты CapraRAT, найденные в ходе текущей кампании, указывают на непрерывное развитие вредоносного ПО со стороны Прозрачного племени.

Что касается атрибуции, IP-адреса серверов управления и контроля (C2), с которыми общается CapraRAT, жестко закодированы в конфигурационном файле приложения и были связаны с предыдущей деятельностью группы хакеров.

Тем не менее, некоторые IP-адреса были связаны с другими кампаниями RAT, хотя точная связь между этими угрозами и Прозрачным племенем остается неясной.

«Прозрачное племя — это постоянный игрок с надежными привычками. Относительно низкий барьер операционной безопасности позволяет быстро идентифицировать их инструменты.

Лица и организации, связанные с дипломатическими, военными или активистскими вопросами в регионах Индии и Пакистана, должны оценить защиту от этого актера и угрозы», — заключил Деламотт.