CapraRAT冒充YouTube劫持Android设备

巴基斯坦的威胁组织 Transparent Tribe(透明部落)最近发起了一场新的间谍活动,以浪漫为主题的诱饵针对印度和巴基斯坦的军事和外交人员。这个组织被认为与另一个被称为 Gorgon Group 的组织有关联,主要利用社交工程学和定制的恶意软件(如 Crimson RAT 和 Peppy RAT)来窃取目标的敏感信息。
CapraRAT冒充YouTube劫持Android设备

他们利用浪漫主题的诱饵来传播模仿YouTube的安卓间谍软件,劫持安卓设备。这样,威胁行为者就能对受害者的手机进行几乎完全的控制,进行网络间谍和监视活动。

SentinelLabs的研究人员已经识别出三个与Transparent Tribe的CapraRAT(一个远程访问木马)有关的安卓应用程序包(APK),他们在9月18日发表的一篇博客文章中透露了这一情况。

其中两个包旨在诱骗用户下载他们认为是合法的YouTube应用程序,而第三个包则使用浪漫主题的社会工程学手段,联系一个名为“Piya Sharma”的YouTube频道,该频道包含了一个女人在不同地点的几个短片。

“这些应用程序模仿了YouTube的外观,但它们没有合法的原生安卓YouTube应用程序那么完善,”SentinelLabs安全研究员Alex Delamotte在文章中写道。

Transparent Tribe,也被称为APT36和Earth Karkaddan,是一个与巴基斯坦有关的威胁组织,自2013年以来一直活跃,主要针对印度和巴基斯坦的外交、国防和研究机构,最近的活动还针对印度的教育部门。该组织在新冠疫情期间也活跃了起来,作为针对远程工作者攻击浪潮的一部分。

隐藏在恶意安卓应用中的威胁

Transparent Tribe倾向于在攻击中使用安卓间谍软件,尽管它也会在恶意的Office文档中隐藏恶意的有效载荷。CapraRAT是该组织针对安卓用户的最新武器,它于去年年初被TrendMicro发现并命名,它有一个非常明显的结构——这个恶意软件表面上是一个安卓框架,它将远程访问木马的功能隐藏在另一个应用程序中。

Transparent Tribe通过非Google Play商店的渠道分发携带恶意软件的安卓应用程序,依靠自己运营的网站和社会工程学来说服用户安装被武器化的应用程序。在今年早些时候的一次活动中,该组织还通过伪装成约会服务的安卓应用程序分发了CapraRAT,这已经成为传播这种恶意软件的一个常见的诱饵主题。

“该组织决定制作一个类似YouTube的应用程序,是该组织已知趋势的一个新补充,即该组织将安卓应用程序武器化为间谍软件,并通过社交媒体将其分发给目标,”Delamotte写道。

Transparent Tribe主要使用CapraRAT针对那些对涉及有争议地区克什米尔事务或与巴基斯坦有关事务的人权活动者有见解或信息的目标,她补充道。

CapraRAT执行远程访问工具(RAT)任务

研究人员发现并分析了三个以 YouTube 为主题的 CapraRAT APK —— 两个伪装成 YouTube 本身,借用了视频分享服务的图标,另一个叫做 Piya Sharma,使用了前面提到的 YouTube 人物的形象和相似度。

“这个主题表明,这个行为者继续使用基于浪漫的社会工程技术来说服目标安装应用程序,并且 Piya Sharma 是一个相关的人物。”Delamotte 写道。

一旦下载了恶意应用程序,它会请求多个设备权限,有些对于 YouTube 来说是合理的 —— 比如拍摄照片和视频,以及获取麦克风访问。其他请求的权限 —— 比如发送、接收和读取短信的能力 —— 反映了 CapraRAT 的恶意意图。

CapraRAT 在受感染的安卓设备上的其他能力包括:在设备上查找账户;访问联系人列表;以及读取、修改和/或删除设备 SD 卡的内容。

当应用程序启动时,它使用一个 WebView 对象以一种与安卓原生 YouTube 应用不同的方式加载 YouTube 的网站。事实上,它更像是“在移动网页浏览器中查看 YouTube 页面”,Delamotte 写道。

防御安卓间谍软件的措施

SentinelLabs提醒那些与印度或巴基斯坦有关的外交、军事或活动事务有联系的个人和组织要警惕Transparent Tribe的攻击,特别是这次活动中冒充YouTube来吸引受害者的手段。

安卓用户永远不应该安装在Google Play商店之外分发的安卓应用程序,也要避免下载在社交媒体社区中宣传的新的社交媒体应用程序。

除了这些常识性的措施之外,人们还应该评估他们下载的应用程序请求的权限,特别是对于新的或以前不熟悉的应用程序,以确保他们不会暴露在风险中。此外,SentinelLabs建议他们永远不要安装一个已经存在于他们设备上的应用程序的第三方版本。

推荐阅读:

金融领域为什么要关注暗网?

电报中的 USDT 红包群骗局,你知道吗?

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20