「Transparent Tribe」としても知られる APT36 ハッキング グループが、YouTube を模倣する悪意のある Android アプリを使用して、ターゲットのデバイスを「CapraRAT」と呼ばれるモバイル リモート アクセス トロイの木馬 (RAT) に感染させていることが判明しました。
知らない人のために説明すると、APT36 (または Transparent Tribe) はパキスタン関連の疑いのあるハッカー グループで、主に悪意のある Android アプリを使用してインドの国防機関や政府機関、カシミール地域に関係する組織、および関連問題に取り組んでいる人権活動家を攻撃することで知られています。パキスタンへ。
サイバーセキュリティ企業の SentinelLabs は、YouTube の外観を模倣した Transparent Tribe の CapraRAT にリンクされた 3 つの Android アプリケーション パッケージ (APK) を特定することができました。
「CapraRAT は、感染した Android デバイス上のデータの多くを攻撃者に制御させる非常に侵入的なツールです」と SentinelLabs のセキュリティ研究者 Alex Delamotte 氏は述べています。書きました月曜日の分析で。
研究者らによると、悪意のある APK は Android の Google Play ストアを通じて配布されていないため、被害者はサードパーティのソースからアプリをダウンロードしてインストールするようにソーシャル エンジニアリングされている可能性が高いと考えられます。
3 つの APK を分析した結果、トロイの木馬 CapraRAT が含まれており、2023 年 4 月、7 月、8 月に VirusTotal にアップロードされたことが判明しました。CapraRAT APK のうち 2 つは「YouTube」、1 つは「Piya Sharma」という名前で、チャンネルに関連付けられていました。ターゲットを説得してアプリケーションをインストールさせるための、ロマンスベースのソーシャル エンジニアリング手法に使用される可能性があります。
アプリの一覧は以下のとおりです。
- Base.media.service
- ムーブ.メディア.チューブ
- ビデオ.ウォッチ.シェア
インストール中、アプリは多くの危険な権限を要求しますが、その一部は YouTube などのメディア ストリーミング アプリの場合、被害者にとって最初は無害であるように見え、疑わずに処理される可能性があります。
悪意のあるアプリのインターフェイスは、Google の実際の YouTube アプリを模倣しようとしますが、トロイの木馬化されたアプリ内から WebView を使用してサービスを読み込むため、アプリというよりも Web ブラウザのように見えます。また、正規のネイティブ Android YouTube アプリで利用できる特定の機能も欠如していました。
CapraRAT が被害者のデバイスにインストールされると、マイク、前面カメラと背面カメラによる録音、SMS およびマルチメディア メッセージの内容と通話ログの収集、SMS メッセージの送信、SMS 受信のブロック、通話の開始、画面の取得などのさまざまなアクションを実行できます。キャプチャ、GPS やネットワークなどのシステム設定のオーバーライド、電話のファイル システム上のファイルの変更などを行います。
SentinelLabs によると、現在のキャンペーン中に発見された最近の CapraRAT 亜種は、Transparent Tribe によるマルウェアの継続的な開発を示しています。
帰属に関しては、CapraRAT が通信するコマンド アンド コントロール (C2) サーバーの IP アドレスはアプリの設定ファイルにハードコーディングされており、ハッキング グループの過去の活動と関連付けられています。
ただし、一部の IP アドレスは他の RAT キャンペーンにリンクされていますが、これらの脅威アクターと Transparent Tribe との正確な関係は依然として不明です。
「トランスペアレント・トライブは、信頼できる習慣を持つ長年の俳優です。操作上の安全基準が比較的低いため、ツールを迅速に識別できます。
インドとパキスタン地域の外交、軍事、活動家の問題に関係する個人や組織は、この攻撃者や脅威に対する防御を評価すべきである」とデラモット氏は結論づけた。