APT36 lây nhiễm mã độc vào các thiết bị Android thông qua các ứng dụng giả mạo YouTube

Nhóm tấn công APT36, hay còn gọi là 'Transparent Tribe', được phát hiện đã sử dụng ít nhất ba ứng dụng Android bắt chước YouTube để lây nhiễm trojan truy cập từ xa (RAT) vào các thiết bị.

Sau khi phần mềm độc hại được cài đặt trên thiết bị của nạn nhân hoạt động giống như một công cụ gián điệp, nó có thể thu thập dữ liệu, ghi lại (record) âm thanh và video hoặc truy cập thông tin liên lạc nhạy cảm.

APT36 là một nhóm đe dọa được liên kết với Pakistan, chúng thường sử dụng các ứng dụng Android độc hại hoặc các công cụ tùy chỉnh để tấn công các cơ quan chính phủ và quốc phòng Ấn Độ.

SentinelLabs, công ty bảo mật đã phát hiện chiến dịch này, cảnh báo những người và tổ chức có liên quan đến quân sự hoặc ngoại giao ở Ấn Độ và Pakistan phải hết sức cảnh giác với các ứng dụng YouTube dành cho Android được lưu trữ trên các trang web của bên thứ ba.

Mạo danh YouTube

Các APK (tệp cài đặt ứng dụng Android) độc hại được phân phối bên ngoài Google Play- cửa hàng ứng dụng chính thức của Android, vì vậy rất có thể nạn nhân đã bị lừa để tải xuống và cài đặt chúng.

Các APK này đã được tải lên VirusTotal vào tháng 4, tháng 7 và tháng 8 năm 2023, trong đó hai tệp APK được gọi là "YouTube" và một tệp APK là "Piya Sharma" được liên kết với kênh của một đối tượng có thể được sử dụng trong các chiêu trò lừa đảo dựa trên tình cảm.

Trong quá trình cài đặt, các ứng dụng độc hại yêu cầu nhiều quyền nguy hiểm. Giao diện của các ứng dụng độc hại cố gắng bắt chước ứng dụng YouTube thực của Google, nhưng nó giống với một trình duyệt web hơn là ứng dụng gốc do sử dụng WebView từ bên trong ứng dụng bị nhiễm trojan để tải dịch vụ. Ngoài ra, nó còn thiếu một số tính năng có sẵn trên nền tảng thực tế.

Giao diện của ứng dụng giả mạo (SentinelLabs)

Khi CapraRAT được thiết lập và chạy trên thiết bị, nó sẽ thực hiện các hành động sau:

Ghi âm bằng micro, camera trước và sau

Thu thập nội dung tin nhắn SMS, tin nhắn đa phương tiện, nhật ký cuộc gọi

Gửi tin nhắn SMS, chặn tin nhắn SMS đến

Bắt đầu cuộc gọi điện thoại

Chụp ảnh màn hình

Ghi đè cài đặt hệ thống như GPS & Mạng

Sửa đổi tập tin trên hệ thống tập tin của điện thoại

SentinelLabs lưu ý rằng các biến thể CapraRAT được phát hiện trong những chiến dịch gần đây có những cải tiến về tính năng so với các mẫu được phân tích trước đó, điều này cho thấy sự phát triển liên tục của nó.

Các địa chỉ máy chủ kiểm soát tấn công (C2) mà CapraRAT kết nối được xác định trong tệp cấu hình của ứng dụng và liên kết với các hoạt động của Transparent Tribe trước đây. Một số địa chỉ IP được được liên kết với các chiến dịch RAT khác.

Tóm lại, Transparent Tribe vẫn đang thực hiện các hoạt động gián điệp mạng ở Ấn Độ và Pakistan, sử dụng RAT Android đặc trưng của nhóm dưới dạng các ứng dụng YouTube giả mạo.

Để giảm thiểu nguy cơ trở thành nạn nhân trong các chiến dịch độc hại này, người dùng chỉ nên tải và cài đặt ứng dụng từ các kênh phân phối chính thức, xem xét kỹ các đánh giá, bình luận trước khi tải và lưu ý kiểm tra các quyền được yêu cầu trong khi cài đặt hoặc khi sử dụng. Nếu phát hiện bất kỳ điểm đáng ngờ nào, tốt nhất bạn nên hủy hoặc gỡ cài đặt ứng dụng ngay.

Nguồn: bleepingcomputer.com.