По информации SentinelLabs, в последнее время «правительственные» хакеры из группировки APT36 (она же Transparent Tribe) уже использовали как минимум три Android-приложения, имитирующие YouTube, для заражения устройств своих целей трояном CapraRAT.

APT36  — связанная с Пакистаном хак-группа, в основном известная использованием вредоносных приложений для Android для атак на индийские оборонные и правительственные учреждения. Судя по всему, цели кампании, теперь обнаруженной SentinelLabs, так же связаны с военными и дипломатическими кругами в Индии и Пакистане.

По словам исследователей, вредоносные APK распространяются не через официальный магазин Google Play, поэтому, скорее всего, сначала люди становятся жертвами социальной инженерии, и злоумышленники убеждают их загрузить и установить приложение из стороннего источника.

Вредоносные файлы APK были загружены на VirusTotal в апреле, июле и августе 2023 года, причем два из них назывались «YouTube», а другой — «Piya Sharma», что связано с каналом некой личности, которую злоумышленники использовали для «романтических» атак.

При установке малварь запрашивает у пользователя множество опасных разрешений, но к некоторым из них жертва может отнестись без подозрения, ожидая чего-то подобного от YouTube.

Интерфейс вредоносных приложений пытается имитировать настоящее приложение YouTube, но больше напоминает браузер, а не собственное приложение Google, поскольку для загрузки сервиса здесь используется WebView. Кроме того, в приложении отсутствуют некоторые функции, доступные в настоящей версии.

После запуска CapraRAT на устройстве малварь может выполнять следующие действия:

  • вести запись с помощью микрофона, фронтальной и задней камеры;
  • собирать содержимое SMS и мультимедийных сообщений, журналов вызовов;
  • отправлять SMS-сообщения и блокировать входящие SMS;
  • инициировать телефонные звонки;
  • делать скриншоты;
  • изменять системные настройки, включая настройки GPS и сети;
  • изменять файлы в файловой системе устройства.

SentinelLabs сообщает, что версии CapraRAT, обнаруженные в ходе недавней кампании, имеют улучшенные характеристики, по сравнению с ранее изученными образцами, то есть вредонос продолжает развиваться.

Что касается атрибуции, то адреса управляющих серверов, с которыми взаимодействует CapraRAT, жестко закодированы в конфигурационном файле приложений и связаны с прошлой активностью группировки Transparent Tribe. При этом некоторые IP-адреса оказались связаны с другими RAT-кампаниями, хотя точная связь между ними и APT36 остается неясной.

Аналитики SentinelLabs резюмируют, что группировка обладает весьма слабой операционной безопасностью, что позволяет легко идентифицировать ее кампании и инструменты. Однако постоянное появление новых вредоносных приложений дает хакерам преимущество, позволяя находить все новых жертв.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии