Os cibercriminosos do grupo APT36, também conhecido como Transparent Tribe, foi observado usando pelo menos três aplicativos Android que imitam o YouTube para infectar dispositivos com seu trojan de acesso remoto (RAT) exclusivo, CapraRAT. Depois que o malware é instalado no dispositivo da vítima, ele pode coletar dados, gravar áudio e vídeo ou acessar informações confidenciais de comunicação, operando essencialmente como uma ferramenta de spyware.
APT36 e a infecção dos dispositivos Android usando clones de aplicativos do YouTube
APT36 é um ator de ameaças alinhado ao Paquistão, conhecido por usar aplicativos Android maliciosos ou sofisticados para atacar entidades governamentais e de defesa indianas, aquelas que lidam com assuntos da região da Caxemira e ativistas de direitos humanos no Paquistão.
Esta última campanha foi detectada pelo SentinelLabs , que alerta pessoas e organizações ligadas às forças armadas ou à diplomacia na Índia e no Paquistão para serem muito cautelosos com os aplicativos do YouTube para Android hospedados em sites de terceiros.
Personificando o YouTube
Os APKs maliciosos são distribuídos fora do Google Play, a loja oficial de aplicativos do Android, então as vítimas provavelmente são projetadas socialmente para baixá-los e instalá-los. Os APKs foram carregados no VirusTotal em abril, julho e agosto de 2023, com dois deles sendo chamados de ‘YouTube’ e um ‘Piya Sharma’ associado ao canal de uma persona provavelmente usada em táticas baseadas em romance.
Durante a instalação, os aplicativos de malware solicitam inúmeras permissões arriscadas, algumas das quais a vítima pode tratar sem suspeitar de um aplicativo de streaming de mídia como o YouTube.
A interface dos aplicativos maliciosos tenta imitar o aplicativo YouTube real do Google, mas se assemelha a um navegador da web em vez do aplicativo nativo devido ao uso do WebView de dentro do aplicativo trojanizado para carregar o serviço. Além disso, faltam vários dos recursos disponíveis na plataforma real.
Assim que o CapraRAT estiver instalado e funcionando no dispositivo, ele executa muitas ações, podendo: gravar com o microfone, câmeras frontal e traseira; coletar conteúdo de mensagens SMS e multimídia, registros de chamadas; enviar de mensagens SMS, bloqueando SMS recebidos; iniciar chamadas telefônicas; fazer capturas de tela; substituir configurações do sistema, como GPS e rede e; modificar arquivos no sistema de arquivos do telefone.
O SentinelLabs relata que as variantes CapraRAT detectadas na campanha recente apresentam melhorias em relação às amostras analisadas anteriormente, indicando desenvolvimento contínuo. Com relação à atribuição, os endereços do servidor C2 (comando e controle) com os quais o CapraRAT se comunica estão codificados no arquivo de configuração do aplicativo e foram associados a atividades anteriores da Transparent Tribe.
Alguns endereços IP recuperados pelo SentinelLabs estão vinculados a outras campanhas RAT, embora a relação exata entre os atores da ameaça e aqueles ainda não esteja clara. Concluindo, a Transparent Tribe continua as suas atividades de espionagem cibernética na Índia e no Paquistão, utilizando a sua assinatura Android RAT, agora disfarçada de YouTube, demonstrando evolução e adaptabilidade.