O grupo de hackers APT36, também conhecido como "Tribo Transparente", foi descoberto usando aplicativos Android maliciosos que imitam o YouTube para infectar os dispositivos de seus alvos com o trojan de acesso remoto móvel (RAT) chamado "CapraRAT".
Para quem não sabe, o APT36 (ou Tribo Transparente) é um suposto grupo de hackers ligado ao Paquistão, conhecido principalmente por usar aplicativos Android maliciosos para atacar agências governamentais e de defesa indianas, organizações envolvidas com a região da Caxemira, bem como ativistas de direitos humanos que trabalham em assuntos relacionados ao Paquistão.
A SentinelLabs, uma empresa de cibersegurança, conseguiu identificar três pacotes de aplicativos Android (APK) ligados ao CapraRAT, da Transparent Tribe, que imitavam a aparência do YouTube.
"O CapraRAT é uma ferramenta altamente invasiva que dá ao invasor controle sobre grande parte dos dados nos dispositivos Android que ele infecta", escreveu o pesquisador de segurança do SentinelLabs, Alex Delamotte, em uma análise na segunda-feira.
De acordo com os pesquisadores, os APKs maliciosos não são distribuídos pela Google Play Store do Android, o que significa que as vítimas provavelmente são socialmente projetadas para baixar e instalar o aplicativo de uma fonte de terceiros.
A análise dos três APKs revelou que eles continham o trojan CapraRAT e foram enviados para o VirusTotal em abril, julho e agosto de 2023. Dois dos APKs do CapraRAT foram chamados de 'YouTube', e um foi chamado de 'Piya Sharma', associado a um canal potencialmente usado para técnicas de engenharia social baseadas em romance para convencer os alvos a instalar os aplicativos.
A lista de aplicativos é a seguinte:
- Base.media.service
- moves.media.tubes
- videos.watchs.compartilhar
Durante a instalação, os aplicativos pedem uma série de permissões arriscadas, algumas das quais podem inicialmente parecer inofensivas para a vítima para um aplicativo de streaming de mídia como o YouTube e tratá-lo sem suspeita.
A interface dos aplicativos maliciosos tenta imitar o aplicativo real do YouTube do Google, mas parece mais um navegador da web do que um aplicativo devido ao uso do WebView de dentro do aplicativo trojanizado para carregar o serviço. Eles também não tinham certos recursos e funções disponíveis no aplicativo nativo legítimo do YouTube para Android.
Uma vez que o CapraRAT é instalado no dispositivo da vítima, ele pode executar várias ações, como gravar com o microfone, câmeras frontal e traseira, coletar conteúdo de mensagens SMS e multimídia e registros de chamadas, enviar mensagens SMS, bloquear SMS recebidos, iniciar chamadas telefônicas, fazer capturas de tela, substituir configurações do sistema, como GPS & Network, e modificar arquivos no sistema de arquivos do telefone.
De acordo com o SentinelLabs, as recentes variantes do CapraRAT encontradas durante a campanha atual indicam o desenvolvimento contínuo do malware pela Transparent Tribe.
Em relação à atribuição, os endereços IP dos servidores de comando e controle (C2) com os quais o CapraRAT se comunica estão codificados no arquivo de configuração do aplicativo e foram vinculados a atividades anteriores do grupo de hackers.
No entanto, alguns endereços IP foram vinculados a outras campanhas de RAT, embora a relação exata entre esses atores de ameaças e a Tribo Transparente permaneça obscura.
"Tribo Transparente é um ator perene com hábitos confiáveis. A barra de segurança operacional relativamente baixa permite a rápida identificação de suas ferramentas.
Indivíduos e organizações ligados a assuntos diplomáticos, militares ou ativistas nas regiões da Índia e do Paquistão devem avaliar a defesa contra esse ator e ameaça", concluiu Delamotte.
Comentários