Cibergrupo utiliza clones da aplicação do YouTube para afetar dispositivos Android

A SentinelLabs detetou uma nova campanha do grupo de cibercriminosos APT36, também conhecido como Transparent Tribe, onde foram utilizadas pelo menos três aplicações que imitam o YouTube para infetar dispositivos Android com o seu próprio Trojan de acesso remoto (RAT), o CapraRAT. 

O malware funciona quase como uma ferramenta de spyware. Após a sua instalação no dispositivo atacado, é possível extrair dados e aceder a informações confidenciais de comunicação. 

Para além disto, o CapraRAT consegue executar um conjunto de ações: gravar com microfone e câmaras frontal e traseira; recolher conteúdo de mensagens SMS e multimédia e registo de chamadas; enviar mensagens SMS e bloquear SMS recebidas; iniciar chamadas telefónicas; fazer captura de tela; substituir configurações do sistema, como GPS; entre outras.

O grupo paquistanês APT36é conhecido por utilizar aplicações Android maliciosas para atacar entidades governamentais e de defesa da Índia, particularmente aqueles que lidam com assuntos da região de Caxemira e com ativistas de direitos humanos no país.

Os APKs maliciosos são distribuídos fora do Google Play, a loja oficial de aplicações para Android. Foram carregados no VirusTotal nos meses de abril, julho e agosto de 2023, dois com o nome “YouTube” e um chamado “Piya Sharma”, associado ao canal de uma celebridade indiana, que foi provavelmente utilizado em táticas baseadas em romance.

Durante a instalação, as aplicações falsas solicitam várias permissões arriscadas, algumas delas que os indivíduos visados poderão não suspeitar por se tratar de uma aplicação de streaming de media.

Apesar da tentativa de imitar a aplicação do YouTube, a interface das aplicações maliciosas tem em falta vários recursos disponíveis na aplicação real e acaba por assemelhar-se mais a um navegador da web, devido à utilização do WebView dentro da aplicação maliciosa para o loading do serviço.

O SentinelLabs afirma que as variantes do malware recentemente detetadas demonstram melhorias comparativamente às amostras analisadas anteriormente, o que indica um desenvolvimento contínuo pelo grupo de cibercriminosos.

Os endereços do servidor C2 (Comando e Controlo) que o CapraRAT utiliza para comunicar já foram associados a ataques anteriores do APT36, estando codificados no arquivo de configuração da aplicação. Alguns endereços IP detetados pelo SentinelLabs estão ligados a outras campanhas RAT.

Com a mais recente descoberta, o SentinelLabs alerta pessoas e organizações ligadas às forças armadas ou à diplomacia indiana e paquistanesa para terem cuidado com as aplicações de YouTube para Android que são hospedadas em sites terceiros.

Apesar de a fraca segurança operacional do grupo tornar as suas campanhas e ferramentas facilmente identificáveis, o SentinelLabs refere que o lançamento contínuo de novas aplicações permite aos cibercriminosos atingir constantemente novos alvos.