Transparent Tribe utilise de fausses applications Android YouTube pour propager le logiciel malveillant CapraRAT


19 septembre 2023THNSécurité mobile/logiciels malveillants

L’acteur menaçant présumé lié au Pakistan, connu sous le nom de Tribu transparente utilise des applications Android malveillantes imitant YouTube pour distribuer le cheval de Troie d’accès à distance mobile (RAT) CapraRAT, démontrant l’évolution continue de cette activité.

« CapraRAT est un outil hautement invasif qui donne à l’attaquant le contrôle d’une grande partie des données des appareils Android qu’il infecte », a déclaré Alex Delamotte, chercheur en sécurité chez SentinelOne. dit dans une analyse de lundi.

Transparent Tribe, également connu sous le nom d’APT36, est connu pour cibler des entités indiennes à des fins de collecte de renseignements, en s’appuyant sur un arsenal d’outils capables d’infiltrer les systèmes Windows, Linux et Android.

La cyber-sécurité

Un composant crucial de son ensemble d’outils est CapraRAT, qui s’est propagé sous la forme d’applications de messagerie et d’appel sécurisées sous la marque MeetsApp et MeetUp. Ces applications militarisées sont distribuées à l’aide de leurres d’ingénierie sociale.

Le dernier ensemble de fichiers de packages Android (APK) découverts par SentinelOne est conçu pour se faire passer pour YouTube, dont l’un rejoint une chaîne YouTube appartenant à « Piya Sharma ».

L’application porte le nom de son homonyme, ce qui indique que l’adversaire utilise des techniques de phishing basées sur la romance pour inciter les cibles à installer les applications. La liste des applications est la suivante –

  • com.Base.media.service
  • com.moves.media.tubes
  • com.videos.watchs.share

Une fois installées, les applications demandent des autorisations intrusives qui permettent au malware de récolter un large éventail de données sensibles et de les exfiltrer vers un serveur contrôlé par des acteurs. CapraRAT est également capable de lancer des appels téléphoniques ainsi que d’intercepter et de bloquer les messages SMS entrants.

« Transparent Tribe est un acteur pérenne avec des habitudes fiables », a déclaré Delamotte. « La barre de sécurité opérationnelle relativement basse permet une identification rapide de leurs outils. Les individus et les organisations liés à des questions diplomatiques, militaires ou militantes dans les régions de l’Inde et du Pakistan devraient évaluer leur défense contre cet acteur et cette menace. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57