Tác nhân đe dọa bị nghi ngờ có liên quan đến Pakistan được gọi là Bộ lạc minh bạch đang sử dụng các ứng dụng Android độc hại bắt chước YouTube để phân phối trojan truy cập từ xa di động CapraRAT (RAT), thể hiện sự phát triển liên tục của hoạt động.
"CapraRAT là một công cụ xâm lấn cao cho phép kẻ tấn công kiểm soát phần lớn dữ liệu trên các thiết bị Android mà nó lây nhiễm", nhà nghiên cứu bảo mật Alex Delamotte của SentinelOne cho biết trong một phân tích hôm thứ Hai.
Transparent Tribe, còn được gọi là APT36, được biết là nhắm mục tiêu vào các thực thể Ấn Độ cho mục đích thu thập thông tin tình báo, dựa vào kho công cụ có khả năng xâm nhập vào các hệ thống Windows, Linux và Android.
Một thành phần quan trọng trong bộ công cụ của nó là CapraRAT, đã được tuyên truyền dưới dạng các ứng dụng nhắn tin và gọi điện an toàn trojan mang nhãn hiệu MeetsApp và MeetUp. Các ứng dụng vũ khí hóa này được phân phối bằng cách sử dụng mồi kỹ thuật xã hội.
Bộ tệp gói Android (APK) mới nhất được SentinelOne phát hiện được thiết kế để giả mạo YouTube, một trong số đó tiếp cận với kênh YouTube thuộc "Piya Sharma".
Ứng dụng này được đặt tên theo tên gọi của nó, chỉ ra rằng kẻ thù đang sử dụng các kỹ thuật lừa đảo dựa trên sự lãng mạn để lôi kéo các mục tiêu cài đặt các ứng dụng. Danh sách các ứng dụng như sau -
- .com. Cơ sở.media.service
- com.moves.media.tubes
- com.videos.watchs.share
Sau khi cài đặt, các ứng dụng yêu cầu quyền xâm nhập cho phép phần mềm độc hại thu thập một loạt dữ liệu nhạy cảm và trích xuất nó đến một máy chủ do tác nhân kiểm soát. CapraRAT cũng có khả năng bắt đầu các cuộc gọi điện thoại cũng như chặn và chặn các tin nhắn SMS đến.
"Bộ lạc minh bạch là một diễn viên lâu năm với những thói quen đáng tin cậy," Delamotte nói. "Thanh bảo mật hoạt động tương đối thấp cho phép xác định nhanh chóng các công cụ của họ. Các cá nhân và tổ chức liên quan đến các vấn đề ngoại giao, quân sự hoặc hoạt động ở khu vực Ấn Độ và Pakistan nên đánh giá khả năng phòng thủ chống lại tác nhân và mối đe dọa này".