Pakistan bağlantılı olduğundan şüphelenilen tehdit aktörü Şeffaf Kabile CapraRAT mobil uzaktan erişim truva atını (RAT) dağıtmak için YouTube’u taklit eden kötü amaçlı Android uygulamaları kullanıyor ve bu da etkinliğin sürekli gelişimini gösteriyor.
SentinelOne güvenlik araştırmacısı Alex Delamotte, “CapraRAT, saldırgana bulaştığı Android cihazlardaki verilerin çoğu üzerinde kontrol sağlayan son derece istilacı bir araçtır.” söz konusu Pazartesi analizinde.
APT36 olarak da bilinen Transparent Tribe’ın, Windows, Linux ve Android sistemlerine sızabilecek bir dizi araç kullanarak istihbarat toplama amacıyla Hint varlıklarını hedef aldığı biliniyor.
Araç setinin önemli bir bileşeni, MeetsApp ve MeetUp markalı truva atı haline getirilmiş güvenli mesajlaşma ve arama uygulamaları biçiminde yayılan CapraRAT’tır. Bu silah haline getirilmiş uygulamalar sosyal mühendislik tuzakları kullanılarak dağıtılıyor.
SentinelOne tarafından keşfedilen en yeni Android paketi (APK) dosyaları seti, YouTube kılığına girecek şekilde tasarlandı ve bunlardan biri “Piya Sharma”ya ait bir YouTube kanalına ulaşıyor.
Uygulama, ismini adından alıyor; bu da, saldırganın, hedefleri uygulamaları yüklemeye ikna etmek için aşk temelli kimlik avı teknikleri kullandığını gösteriyor. Uygulamaların listesi aşağıdaki gibidir –
- com.Base.media.service
- com.moves.media.tubes
- com.videos.watchs.share
Uygulamalar yüklendikten sonra, kötü amaçlı yazılımın çok çeşitli hassas verileri toplamasına ve aktör tarafından kontrol edilen bir sunucuya sızdırmasına izin veren izinsiz izinler talep ediyor. CapraRAT ayrıca telefon çağrıları başlatmanın yanı sıra gelen SMS mesajlarını yakalayıp engelleme yeteneğine de sahiptir.
Delamotte, “Transparent Tribe, güvenilir alışkanlıklara sahip daimi bir aktördür” dedi. “Göreceli olarak düşük operasyonel güvenlik çubuğu, araçlarının hızlı bir şekilde tanımlanmasını sağlıyor. Hindistan ve Pakistan bölgelerinde diplomatik, askeri veya aktivist konularla bağlantılı kişi ve kuruluşlar, bu aktöre ve tehdide karşı savunmayı değerlendirmelidir.”