El presunto actor de amenazas vinculado a Pakistán conocido como Tribu transparente está utilizando aplicaciones maliciosas de Android que imitan a YouTube para distribuir el troyano de acceso remoto móvil (RAT) CapraRAT, lo que demuestra la evolución continua de la actividad.
«CapraRAT es una herramienta altamente invasiva que le da al atacante control sobre gran parte de los datos de los dispositivos Android que infecta», dijo el investigador de seguridad de SentinelOne, Alex Delamotte. dicho en un análisis del lunes.
Se sabe que Transparent Tribe, también conocida como APT36, apunta a entidades indias con fines de recopilación de inteligencia, basándose en un arsenal de herramientas capaces de infiltrarse en los sistemas Windows, Linux y Android.
Un componente crucial de su conjunto de herramientas es CapraRAT, que se ha propagado en forma de aplicaciones troyanizadas de mensajería y llamadas seguras con las marcas MeetsApp y MeetUp. Estas aplicaciones armadas se distribuyen utilizando señuelos de ingeniería social.
El último conjunto de archivos de paquetes de Android (APK) descubiertos por SentinelOne están diseñados para hacerse pasar por YouTube, uno de los cuales llega a un canal de YouTube que pertenece a «Piya Sharma».
La aplicación lleva el nombre de su homónimo, lo que indica que el adversario está utilizando técnicas de phishing basadas en romances para atraer a los objetivos a instalar las aplicaciones. La lista de aplicaciones es la siguiente:
- com.Base.media.servicio
- com.moves.media.tubes
- com.videos.watchs.share
Una vez instaladas, las aplicaciones solicitan permisos intrusivos que permiten al malware recolectar una amplia gama de datos confidenciales y filtrarlos a un servidor controlado por el actor. CapraRAT también es capaz de iniciar llamadas telefónicas, así como de interceptar y bloquear mensajes SMS entrantes.
«Transparent Tribe es un actor perenne con hábitos confiables», dijo Delamotte. «El nivel relativamente bajo de seguridad operativa permite una rápida identificación de sus herramientas. Los individuos y organizaciones relacionados con asuntos diplomáticos, militares o activistas en las regiones de India y Pakistán deberían evaluar la defensa contra este actor y amenaza».