Threats

Cibergrupo utiliza clones da aplicação do YouTube para afetar dispositivos Android

Os cibercriminosos do grupo APT36 foram observados a recorrer a aplicações do YouTube falsas para atacar dispositivos Android

20/09/2023

Cibergrupo utiliza clones da aplicação do YouTube para afetar dispositivos Android

SentinelLabs detetou uma nova campanha do grupo de cibercriminosos APT36, também conhecido como Transparent Tribe, onde foram utilizadas pelo menos três aplicações que imitam o YouTube para infetar dispositivos Android com o seu próprio Trojan de acesso remoto (RAT), o CapraRAT. 

O malware funciona quase como uma ferramenta de spyware. Após a sua instalação no dispositivo atacado, é possível extrair dados e aceder a informações confidenciais de comunicação. 

Para além disto, o CapraRAT consegue executar um conjunto de ações: gravar com microfone e câmaras frontal e traseira; recolher conteúdo de mensagens SMS e multimédia e registo de chamadas; enviar mensagens SMS e bloquear SMS recebidas; iniciar chamadas telefónicas; fazer captura de tela; substituir configurações do sistema, como GPS; entre outras.

O grupo paquistanês APT36é conhecido por utilizar aplicações Android maliciosas para atacar entidades governamentais e de defesa da Índia, particularmente aqueles que lidam com assuntos da região de Caxemira e com ativistas de direitos humanos no país.

Os APKs maliciosos são distribuídos fora do Google Play, a loja oficial de aplicações para Android. Foram carregados no VirusTotal nos meses de abril, julho e agosto de 2023, dois com o nome “YouTube” e um chamado “Piya Sharma”, associado ao canal de uma celebridade indiana, que foi provavelmente utilizado em táticas baseadas em romance.

Durante a instalação, as aplicações falsas solicitam várias permissões arriscadas, algumas delas que os indivíduos visados poderão não suspeitar por se tratar de uma aplicação de streaming de media.

Apesar da tentativa de imitar a aplicação do YouTube, a interface das aplicações maliciosas tem em falta vários recursos disponíveis na aplicação real e acaba por assemelhar-se mais a um navegador da web, devido à utilização do WebView dentro da aplicação maliciosa para o loading do serviço.

O SentinelLabs afirma que as variantes do malware recentemente detetadas demonstram melhorias comparativamente às amostras analisadas anteriormente, o que indica um desenvolvimento contínuo pelo grupo de cibercriminosos.

Os endereços do servidor C2 (Comando e Controlo) que o CapraRAT utiliza para comunicar já foram associados a ataques anteriores do APT36, estando codificados no arquivo de configuração da aplicação. Alguns endereços IP detetados pelo SentinelLabs estão ligados a outras campanhas RAT.

Com a mais recente descoberta, o SentinelLabs alerta pessoas e organizações ligadas às forças armadas ou à diplomacia indiana e paquistanesa para terem cuidado com as aplicações de YouTube para Android que são hospedadas em sites terceiros.

Apesar de a fraca segurança operacional do grupo tornar as suas campanhas e ferramentas facilmente identificáveis, o SentinelLabs refere que o lançamento contínuo de novas aplicações permite aos cibercriminosos atingir constantemente novos alvos.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº18 Junho 2024

IT SECURITY Nº18 Junho 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.