Οι hackers APT36, γνωστοί και ως “Transparent Tribe“, χρησιμοποιούν τώρα (τουλάχιστον) τρεις εφαρμογές Android που παριστάνουν το YouTube, για να μολύνουν συσκευές με το trojan τους, “CapraRAT“.
Μετά την εγκατάσταση του κακόβουλου λογισμικού στη συσκευή του θύματος, αυτό μπορεί να συλλέξει δεδομένα, να εγγράψει ήχο και βίντεο, ή να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες επικοινωνίας. Ουσιαστικά, λειτουργεί ως spyware, λαμβάνοντας πληροφορίες χωρίς τη συναίνεση του χρήστη.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/482774/apt36-hackers-xrisimopoioun-pseutika-youtube-apps-molinoun-siskeues-me-caprarat/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2023/09/APT36-hackers-youtube-trojan-min.jpg&description=Οι hackers APT36 χρησιμοποιούν τρεις εφαρμογές Android που παριστάνουν το YouTube, για να μολύνουν συσκευές με το trojan τους, "CapraRAT".){kind=link}
Οι hackers APT36 συνδέονται με το Πακιστάν. Είναι γνωστοί για τη χρήση κακόβουλων ή μολυσμένων εφαρμογών Android για επίθεση σε ινδικές αμυντικές και κυβερνητικές οντότητες, σε άτομα που ασχολούνται με θέματα της περιοχής του Kashmir και σε ακτιβιστές ανθρωπίνων δικαιωμάτων στο Πακιστάν.
Δείτε επίσης: Hook: Το νέο Android banking trojan βασίζεται στο ERMAC
Η SentinelLabs ανακάλυψε αυτή την πρόσφατη καμπάνια και προειδοποιεί τους ανθρώπους και τις οργανώσεις, που σχετίζονται με τον στρατό ή τη διπλωματία στην Ινδία και το Πακιστάν, να είναι εξαιρετικά προσεκτικοί με τις Android εφαρμογές YouTube που φιλοξενούνται σε ιστότοπους τρίτων.
Οι ψεύτικες εφαρμογές μιμούνται το YouTube
Τα κακόβουλα APK δεν διανέμονται στο επίσημο κατάστημα εφαρμογών Google Play. Επομένως, τα θύματα πιθανότατα πείθονται με δόλο (social engineering) να κατεβάσουν τις υποτιθέμενες YouTube εφαρμογές από sites τρίτων.
Τα APK μεταφορτώθηκαν στο VirusTotal τον Απρίλιο, τον Ιούλιο και τον Αύγουστο του 2023. Δύο από αυτά να ονομάζονται “YouTube” και το τρίτο “Piya Sharma“.
Δείτε επίσης: WormGPT: Το εργαλείο AI που σχεδιάστηκε για επιθέσεις μεγάλης κλίμακας
Κατά την εγκατάσταση, οι κακόβουλες Android εφαρμογές YouTube ζητούν πολλές επικίνδυνες άδειες.
Η διεπαφή των κακόβουλων εφαρμογών επιχειρεί να μιμηθεί την πραγματική εφαρμογή YouTube της Google, αλλά μοιάζει περισσότερο με πρόγραμμα περιήγησης ιστού και όχι με την εγγενή εφαρμογή, λόγω της χρήσης WebView. Επίσης, δεν έχουν αρκετές από τις δυνατότητες που είναι διαθέσιμες στην πραγματική πλατφόρμα.
Μόλις το CapraRAT tojan της ομάδας APT36 εγκατασταθεί στη συσκευή (μέσω των ψεύτικων Android εφαρμογών YouTube), εκτελεί τις ακόλουθες ενέργειες:
- Εγγραφή ήχου με μικρόφωνο και εικόνας με την μπροστινή και την πίσω κάμερα
- Συλλογή περιεχομένων μηνυμάτων SMS και πολυμέσων και αρχείων καταγραφής κλήσεων
- Αποστολή μηνυμάτων SMS, αποκλεισμός εισερχόμενων SMS
- Έναρξη τηλεφωνικών κλήσεων
- Λήψη screenshots
- Παράκαμψη ρυθμίσεων συστήματος όπως GPS και δίκτυο
- Τροποποίηση αρχείων στο σύστημα αρχείων του τηλεφώνου
Η SentinelLabs αναφέρει ότι οι παραλλαγές του CapraRAT που εντοπίστηκαν στην πρόσφατη καμπάνια, διαθέτουν βελτιώσεις σε σχέση με δείγματα που αναλύθηκαν προηγουμένως. Επομένως, είναι φανερό ότι οι hackers APT36 εξακολουθούν να βελτιώνουν το RAT malware τους. Η SentinelLabs παρατηρεί ότι η συνεχής διάθεση νέων εφαρμογών παρέχει στους hackers ένα μεγάλο πλεονέκτημα, και τους επιτρέπει να προσεγγίζουν συνεχώς νέα πιθανά θύματα.
Δείτε επίσης: Rust Implant χρησιμοποιείται σε νέα εκστρατεία malware κατά του Αζερμπαϊτζάν
Οι ψεύτικες εφαρμογές YouTube σε αυτή την καμπάνια, βοηθούν τους hackers APT36 να σπείρουν το κακόβουλο λογισμικό τους. Με την εξαπάτηση των χρηστών να κατεβάζουν αυτές τις εφαρμογές από ιστότοπους τρίτων, αυτά τα κακόβουλα αρχεία APK καταφέρνουν να μπουν στις συσκευές των θυμάτων. Παρά την απλότητα της τακτικής, η επιτυχία της αποτελεί ένδειξη της σημασίας της εκπαίδευσης των χρηστών σχετικά με τις απειλές ασφαλείας και την ανάγκη για συνεχή ενημέρωση πάνω στις πρακτικές ασφαλείας.
Πηγή: www.bleepingcomputer.com