O grupo de hackers APT36, também conhecido como 'Transparent Tribe', foi observado usando pelo menos três aplicativos Android que imitam o YouTube para infectar dispositivos com seu trojan de acesso remoto (RAT) característico, 'CapraRAT.'
Uma vez que o malware é instalado no dispositivo de uma vítima, ele pode coletar dados, gravar áudio e vídeo, ou acessar informações sensíveis de comunicação, operando essencialmente como uma ferramenta de espionagem.
O APT36 é um agente de ameaças alinhado ao Paquistão, conhecido por usar aplicativos Android maliciosos ou adulterados para atacar entidades de defesa e governo indianas, aquelas que lidam com questões da região da Caxemira, e ativistas de direitos humanos no Paquistão.
Esta campanha mais recente foi identificada pela SentinelLabs, que alerta pessoas e organizações ligadas à militares ou diplomacia na Índia e no Paquistão para serem muito cautelosas com os aplicativos do YouTube Android hospedados em sites de terceiros.
Os APKs maliciosos são distribuídos fora do Google Play, loja oficial de aplicativos do Android, então as vítimas provavelmente são engenheiradas socialmente para baixar e instalar eles.
Os APKs foram enviados ao VirusTotal em abril, julho e agosto de 2023, sendo dois deles chamados 'YouTube' e um 'Piya Sharma' associado ao canal de uma pessoa provavelmente usada em táticas baseadas em romance.
Durante a instalação, os aplicativos de malware solicitam diversas permissões arriscadas, algumas das quais a vítima pode tratar sem suspeita para um aplicativo de streaming de mídia como o YouTube.
A interface dos aplicativos maliciosos tenta imitar o aplicativo YouTube real do Google, mas se assemelha a um navegador da web em vez do aplicativo nativo por usar o WebView dentro do aplicativo trojanizado para carregar o serviço.
Além disso, falta vários dos recursos disponíveis na plataforma real.
Uma vez que o CapraRAT está instalado e funcionando no dispositivo, ele realiza as seguintes ações:
Gravando com o microfone, câmeras frontal e traseira
Coletando SMS e conteúdos de mensagens multimídia, registros de chamadas
Enviar mensagens de SMS, bloquear SMS recebidos
Iniciar chamadas telefônicas
Capturas de tela
Sobrescrever as configurações do sistema como GPS e Rede
Modificar arquivos no sistema de arquivos do telefone
A SentinelLabs relata que as variantes do CapraRAT observadas na campanha recente apresentam melhorias em relação às amostras analisadas anteriormente, indicando desenvolvimento contínuo.
Em relação à atribuição, os endereços do servidor C2 (comando e controle) com o qual o CapraRAT se comunica estão codificados no arquivo de configuração do aplicativo e foram associados a atividades passadas da Transparent Tribe.
Alguns endereços de IP recuperados pela SentinelLabs estão vinculados a outras campanhas RAT, embora a relação exata entre os atores que ameaçam e aqueles permaneça incerta.
Em conclusão, Transparent Tribe continua suas atividades de espionagem cibernética na Índia e no Paquistão, usando seu RAT Android característico, agora disfarçado de YouTube, demonstrando evolução e adaptabilidade.
SentinelLabs observa que embora a fraca segurança operacional do grupo de ameaças torne suas campanhas e ferramentas facilmente identificáveis, a contínua implementação de novos aplicativos fornece a eles uma vantagem, atingindo consistentemente novas vítimas potenciais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...