Nhóm tấn công APT36, hay còn gọi là 'Transparent Tribe', được phát hiện đã sử dụng ít nhất ba ứng dụng Android bắt chước YouTube để lây nhiễm trojan truy cập từ xa (RAT) vào các thiết bị.
Sau khi phần mềm độc hại được cài đặt trên thiết bị của nạn nhân hoạt động giống như một công cụ gián điệp, nó có thể thu thập dữ liệu, ghi lại (record) âm thanh và video hoặc truy cập thông tin liên lạc nhạy cảm.
APT36 là một nhóm đe dọa được liên kết với Pakistan, chúng thường sử dụng các ứng dụng Android độc hại hoặc các công cụ tùy chỉnh để tấn công các cơ quan chính phủ và quốc phòng Ấn Độ.
SentinelLabs, công ty bảo mật đã phát hiện chiến dịch này, cảnh báo những người và tổ chức có liên quan đến quân sự hoặc ngoại giao ở Ấn Độ và Pakistan phải hết sức cảnh giác với các ứng dụng YouTube dành cho Android được lưu trữ trên các trang web của bên thứ ba.
Mạo danh YouTube
Các APK (tệp cài đặt ứng dụng Android) độc hại được phân phối bên ngoài Google Play- cửa hàng ứng dụng chính thức của Android, vì vậy rất có thể nạn nhân đã bị lừa để tải xuống và cài đặt chúng.
Các APK này đã được tải lên VirusTotal vào tháng 4, tháng 7 và tháng 8 năm 2023, trong đó hai tệp APK được gọi là "YouTube" và một tệp APK là "Piya Sharma" được liên kết với kênh của một đối tượng có thể được sử dụng trong các chiêu trò lừa đảo dựa trên tình cảm.
Trong quá trình cài đặt, các ứng dụng độc hại yêu cầu nhiều quyền nguy hiểm. Giao diện của các ứng dụng độc hại cố gắng bắt chước ứng dụng YouTube thực của Google, nhưng nó giống với một trình duyệt web hơn là ứng dụng gốc do sử dụng WebView từ bên trong ứng dụng bị nhiễm trojan để tải dịch vụ. Ngoài ra, nó còn thiếu một số tính năng có sẵn trên nền tảng thực tế.
Giao diện của ứng dụng giả mạo (SentinelLabs)
Khi CapraRAT được thiết lập và chạy trên thiết bị, nó sẽ thực hiện các hành động sau:
Ghi âm bằng micro, camera trước và sau
Thu thập nội dung tin nhắn SMS, tin nhắn đa phương tiện, nhật ký cuộc gọi
Gửi tin nhắn SMS, chặn tin nhắn SMS đến
Bắt đầu cuộc gọi điện thoại
Chụp ảnh màn hình
Ghi đè cài đặt hệ thống như GPS & Mạng
Sửa đổi tập tin trên hệ thống tập tin của điện thoại
SentinelLabs lưu ý rằng các biến thể CapraRAT được phát hiện trong những chiến dịch gần đây có những cải tiến về tính năng so với các mẫu được phân tích trước đó, điều này cho thấy sự phát triển liên tục của nó.
Các địa chỉ máy chủ kiểm soát tấn công (C2) mà CapraRAT kết nối được xác định trong tệp cấu hình của ứng dụng và liên kết với các hoạt động của Transparent Tribe trước đây. Một số địa chỉ IP được được liên kết với các chiến dịch RAT khác.
Tóm lại, Transparent Tribe vẫn đang thực hiện các hoạt động gián điệp mạng ở Ấn Độ và Pakistan, sử dụng RAT Android đặc trưng của nhóm dưới dạng các ứng dụng YouTube giả mạo.
Để giảm thiểu nguy cơ trở thành nạn nhân trong các chiến dịch độc hại này, người dùng chỉ nên tải và cài đặt ứng dụng từ các kênh phân phối chính thức, xem xét kỹ các đánh giá, bình luận trước khi tải và lưu ý kiểm tra các quyền được yêu cầu trong khi cài đặt hoặc khi sử dụng. Nếu phát hiện bất kỳ điểm đáng ngờ nào, tốt nhất bạn nên hủy hoặc gỡ cài đặt ứng dụng ngay.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Ủy ban bảo vệ dữ liệu Ireland đã phạt TikTok 345 triệu euro vì vi phạm Quy định bảo vệ dữ liệu chung của Liên minh châu Âu liên quan đến việc xử lý dữ liệu trẻ em.
Tín nhiệm mạng | Mozilla đã phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng zero-day nghiêm trọng đã bị khai thác trong thực tế, ảnh hưởng đến trình duyệt web Firefox và ứng dụng email Thunderbird
Tín nhiệm mạng | Microsoft đã phát hành bản cập nhật bảo mật hàng tháng Patch Tuesday của tháng này để giải quyết 59 lỗ hổng, trong đó có hai lỗ hổng zero-day đã bị khai thác trong thực tế.
Tín nhiệm mạng | Một lỗ hổng mới được tiết lộ trong GitHub có thể khiến hàng nghìn kho lưu trữ có nguy cơ bị tấn công repojacking.
Tín nhiệm mạng | Google đã phát hành các bản vá bảo mật khẩn cấp để giải quyết một lỗ hổng bảo mật nghiêm trọng trong trình duyệt web Chrome mà hãng cho biết đã bị khai thác trong thực tế.
Tín nhiệm mạng | Phiên bản Notepad++ 8.5.7 đã được phát hành với các bản vá cho nhiều lỗ hổng zero-day liên quan đến lỗi tràn bộ đệm, bao gồm một lỗi có khả năng dẫn đến việc thực thi mã bằng cách lừa người dùng mở tệp độc hại.