Grupo infecta dispositivos Android com clones de apps do YouTube

Gangue de hackers APT36 foi observada usando ao menos três aplicativos Android que imitam o YouTube para infectar dispositivos com o trojan de acesso remoto (RAT) de assinatura
Da Redação
21/09/2023

O grupo de hackers APT36, também conhecido como Transparent Tribe, uma gangue de espionagem cibernética notória pelo uso extensivo de técnicas de engenharia social, foi observado usando ao menos três aplicativos Android que imitam o YouTube para infectar dispositivos com o trojan de acesso remoto (RAT) de assinatura, denominado CapraRAT.

Uma vez que o malware é instalado no dispositivo da vítima, ele pode coletar dados, gravar áudio e vídeo ou acessar informações confidenciais de comunicação, essencialmente operando como uma ferramenta de spyware.

O APT36 é um grupo de ameaças alinhado ao Paquistão conhecido por usar aplicativos Android maliciosos ou rendilhados (semelhante a uma renda, pela forma como é distribuído) para atacar entidades governamentais e de defesa indianas, aqueles que lidam com assuntos da região da Caxemira e ativistas de direitos humanos no Paquistão.

Esta última campanha foi detectada pelo SentinelLabs, que alerta pessoas e organizações ligadas a militares ou diplomacia na Índia e no Paquistão para que desconfiem muito de aplicativos do YouTube para Android hospedados em sites de terceiros.

Os APKs maliciosos são distribuídos fora do Google Play, a loja oficial de aplicativos do Android, então as vítimas provavelmente são socialmente projetadas para baixá-los e instalá-los. Os APKs foram enviados para o VirusTotal em abril, julho e agosto deste ano, com dois deles sendo chamados de “YouTube” e um “Piya Sharma” associado ao canal de uma persona provavelmente usada em táticas baseadas em romance.

Durante a instalação, os aplicativos de malware solicitam inúmeras permissões arriscadas, algumas das quais a vítima pode tratar sem suspeita para um aplicativo de streaming de mídia como o YouTube.

A interface dos aplicativos maliciosos tenta imitar o aplicativo real do YouTube do Google, mas se assemelha a um navegador da web em vez do aplicativo nativo devido ao uso do WebView de dentro do aplicativo trojanizado para carregar o serviço. Além disso, ele perde vários dos recursos disponíveis na plataforma real.

Uma vez que o CapraRAT está em funcionamento no dispositivo, ele executa as seguintes ações:

  • Gravação com o microfone, câmeras frontais e traseiras
  • Coleta de SMS e conteúdo de mensagens multimídia, registros de chamadas
  • Envio de mensagens SMS, bloqueio de SMS recebidos
  • Iniciando chamadas telefônicas
  • Fazendo capturas de tela
  • Substituindo configurações do sistema, como GPS & Rede
  • Modificando arquivos no sistema de arquivos do telefone

Veja isso
App de gravação de tela iRecorder é ‘trojanizado’ com AhRat
Pesquisadores alertam que AWS SSM pode ser usado como RAT

O SentinelLabs relata que as variantes do CapraRAT detectadas na campanha recente apresentam melhorias em relação às amostras analisadas anteriormente, indicando desenvolvimento contínuo.

Em relação à atribuição, os endereços do servidor de comando e controle (C&C) com os quais o CapraRAT se comunica estão codificados no arquivo de configuração do aplicativo e foram associados a atividades anteriores da Tribo Transparente. Alguns endereços IP recuperados pelo SentinelLabs estão vinculados a outras campanhas de RAT, embora a relação exata entre os agentes da ameaça e esses ainda não esteja clara.

O SentinelLabs observa que, embora a fraca segurança operacional do grupo de ameaças torne suas campanhas e ferramentas facilmente identificáveis, seu lançamento contínuo de novos aplicativos fornece uma vantagem evasiva, alcançando consistentemente novas vítimas em potencial, o que pode ocorrer em qualquer lugar do mundo.

Compartilhar: