0
0
Um conhecido ator de ameaças ligado ao Paquistão está lançando iscas de conteúdo baseado em romance para espalhar spyware baseado em Android que imita o YouTube para sequestrar dispositivos Android. Desta forma, os agentes da ameaça obtêm controlo quase total sobre os telemóveis das vítimas para atividades de ciberespionagem e vigilância.
Pesquisadores do SentinelLabs identificaram três pacotes de aplicativos Android (APKs) vinculados ao CapraRAT (um Trojan de acesso remoto) da Transparent Tribe, revelaram em uma postagem de blog publicada em 18 de setembro.
Dois dos pacotes visam enganar os usuários para que baixem o que eles acham ser o aplicativo legítimo do YouTube, e um terceiro usa engenharia social baseada em romance, acessando um canal do YouTube pertencente a uma pessoa chamada “Piya Sharma”, que inclui uploads de vários clipes curtos de uma mulher em vários locais.
“Esses aplicativos imitam a aparência do YouTube, embora tenham menos recursos do que o aplicativo nativo legítimo do YouTube para Android”, escreveu Alex Delamotte, pesquisador de segurança do SentinelLabs, no post.
Transparent Tribe, também conhecido como APT36 e Earth Karkaddan, é um grupo de ameaça paquistanês que está ativo desde 2013 e normalmente tem como alvo pessoal militar e diplomático na Índia e no Paquistão, com campanhas mais recentes visando o setor educacional da Índia. O grupo também esteve ativo durante a COVID-19 como parte de uma onda de ataques contra trabalhadores remotos.
Escondendo-se em aplicativos Android maliciosos
O Transparent Tribe tende a usar spyware baseado em Android em ataques, embora também esconda cargas maliciosas atrás de documentos maliciosos do Office . CapraRAT, descoberto e nomeado pela TrendMicro no início do ano passado, é a mais recente arma escolhida pelo grupo contra usuários do Android com uma estrutura notavelmente identificável – o malware é ostensivamente uma estrutura do Android que esconde recursos do RAT dentro de outro aplicativo.
A Transparent Tribe distribui aplicativos Android que entregam malware fora da Google Play Store, contando com sites autogeridos e engenharia social para convencer os usuários a instalar um aplicativo como arma. Em uma campanha no início deste ano, o grupo também distribuiu o CapraRAT por meio de aplicativos Android disfarçados de serviço de encontros, que se tornou um tema comum para a distribuição do malware.
“A decisão do grupo de criar um aplicativo semelhante ao do YouTube é uma nova adição a uma tendência conhecida do grupo de transformar aplicativos Android em armas com spyware e distribuí-los a alvos por meio da mídia social”, escreveu Delamotte.
A Transparent Tribe utilizou o CapraRAT principalmente contra alvos que têm insights ou informações relacionadas a assuntos envolvendo a região disputada da Caxemira, bem como ativistas de direitos humanos que trabalham em assuntos relacionados ao Paquistão, acrescentou ela.
CapraRAT fazendo coisas RAT
Os pesquisadores identificaram e analisaram três APKs CapraRAT com tema do YouTube – dois disfarçados como o próprio YouTube, que empresta o ícone do serviço de compartilhamento de vídeo, e o terceiro chamado Piya Sharma, que usa a imagem e semelhança da personalidade do YouTube mencionada anteriormente.
“Este tema sugere que o ator continua a usar técnicas de engenharia social baseadas em romance para convencer os alvos a instalar os aplicativos, e que Piya Sharma é uma pessoa relacionada”, escreveu Delamotte.
Depois de baixado, o aplicativo malicioso solicita diversas permissões do dispositivo, algumas que fazem sentido para o YouTube – como tirar fotos e vídeos e obter acesso ao microfone. Outras permissões solicitadas – como a capacidade de enviar, receber e ler mensagens SMS – refletem as más intenções do CapraRAT.
Outros recursos do CapraRAT em um dispositivo Android comprometido incluem: encontrar contas no dispositivo; acessar listas de contatos; e ler, modificar e/ou excluir conteúdo do cartão SD de um dispositivo.
Quando o aplicativo é iniciado, ele usa um objeto WebView para carregar o site do YouTube de uma forma diferente do aplicativo nativo do YouTube para Android. Na verdade, é mais “semelhante a visualizar a página do YouTube em um navegador móvel”, escreveu Delamotte.
Medidas de defesa contra spyware Android
O SentinelLabs está alertando indivíduos e organizações ligadas a assuntos diplomáticos, militares ou ativistas na Índia ou no Paquistão para serem cautelosos com os ataques da Tribo Transparente, e esta campanha em particular com a representação do YouTube para atrair vítimas.
Os usuários do Android nunca devem instalar aplicativos Android distribuídos fora da própria loja Google Play e também evitar baixar novos aplicativos de mídia social anunciados em comunidades de mídia social.
Além dessas medidas de bom senso, as pessoas também devem avaliar as permissões solicitadas por um aplicativo que baixam, especialmente para aplicativos novos ou desconhecidos, para garantir que não estejam expostos a riscos. Além disso, o SentinelLabs recomenda que eles nunca instalem uma versão de terceiros de um aplicativo que já esteja presente em seus dispositivos.
FONTE: DARKREADING