20Sep
Hackerská skupina APT36, známá také jako „Transparent Tribe“, byla objevena pomocí škodlivých aplikací pro Android které napodobují YouTube, aby infikovaly zařízení svých cílů pomocí tzv. mobilního vzdáleného přístupu trojan (RAT). „CapraRAT“.
Pro ty, kteří nevědí, APT36 (nebo Transparent Tribe) je podezřelá hackerská skupina napojená na Pákistán, známá především tím, že k útokům používá škodlivé aplikace pro Android. Indické obranné a vládní agentury, organizace zapojené do oblasti Kašmíru, stejně jako aktivisté za lidská práva, kteří se zabývají záležitostmi souvisejícími s Pákistán.
Společnost SentinelLabs, která se zabývá kybernetickou bezpečností, dokázala identifikovat tři balíčky aplikací pro Android (APK) propojené s CapraRAT společnosti Transparent Tribe, které napodobovaly vzhled YouTube.
„CapraRAT je vysoce invazivní nástroj, který útočníkovi poskytuje kontrolu nad velkou částí dat na zařízeních Android, která infikuje,“ říká Alex Delamotte, bezpečnostní výzkumník SentinelLabs. napsal v pondělní analýze.
Podle výzkumníků nejsou škodlivé soubory APK distribuovány prostřednictvím obchodu Google Play pro Android, který znamená, že oběti jsou s největší pravděpodobností sociálně navrženy ke stažení a instalaci aplikace ze zdroje třetí strany.
Analýza tří souborů APK odhalila, že obsahovaly trojský kůň CapraRAT a byly nahrány do VirusTotal v dubnu, červenci a srpnu 2023. Dva z CapraRAT APK byly pojmenovány „YouTube“ a jeden byl pojmenován „Piya Sharma“, spojený s kanálem potenciálně používané pro techniky sociálního inženýrství založené na romantice k přesvědčení cílů, aby si nainstalovali aplikací.
Seznam aplikací je následující:
- Základní.mediální.služba
- pohybuje.mediální.trubice
- videa.sledovat.sdílet
Během instalace aplikace žádají o řadu rizikových oprávnění, z nichž některá se mohou zpočátku zdát pro oběť neškodná pro aplikaci pro streamování médií, jako je YouTube, a zacházet s nimi bez podezření.
Rozhraní škodlivých aplikací se pokouší napodobit skutečnou aplikaci YouTube společnosti Google, ale zdá se, že je více jako webový prohlížeč než aplikace díky použití WebView z trojanizované aplikace k načtení servis. Také jim chyběly určité funkce a funkce dostupné v legitimní nativní aplikaci YouTube pro Android.
Jakmile je CapraRAT nainstalován na zařízení oběti, může provádět různé akce, jako je nahrávání pomocí mikrofonu, přední a zadní kamery, shromažďování obsahu SMS a multimediálních zpráv a protokoly hovorů, odesílání SMS zpráv, blokování příchozích SMS, zahajování telefonních hovorů, pořizování snímků obrazovky, přepisování systémových nastavení, jako je GPS a síť, a úpravy souborů v telefonu souborový systém.
Podle SentinelLabs nedávné varianty CapraRAT nalezené během aktuální kampaně naznačují neustálý vývoj malwaru Transparent Tribe.
Pokud jde o atribuci, IP adresy příkazových a řídicích (C2) serverů, které CapraRAT komunikuje s jsou pevně zakódovány v konfiguračním souboru aplikace a byly propojeny s minulými aktivitami hackování skupina.
Některé IP adresy však byly spojeny s jinými kampaněmi RAT, ačkoli přesný vztah mezi těmito aktéry hrozeb a Transparent Tribe zůstává nejasný.
„Transparent Tribe je věčný herec se spolehlivými návyky. Relativně nízká provozní bezpečnostní lišta umožňuje rychlou identifikaci jejich nástrojů.
Jednotlivci a organizace spojené s diplomatickými, vojenskými nebo aktivistickými záležitostmi v oblastech Indie a Pákistánu by měli vyhodnotit obranu proti tomuto aktérovi a hrozbě,“ uzavřel Delamotte.