Nhóm tin tặc APT36 lây nhiễm các thiết bị Android bằng cách sử dụng bản sao ứng dụng YouTube

Nhóm hack APT36, hay còn gọi là ‘Transparent Tribe’, đã bị phát hiện khi sử dụng ít nhất ba ứng dụng Android bắt chước YouTube để lây nhiễm trojan truy cập từ xa (RAT) đặc trưng của chúng vào các thiết bị.


Sau khi phần mềm độc hại được cài đặt trên thiết bị của nạn nhân, nó có thể thu thập dữ liệu, ghi lại âm thanh và video hoặc truy cập thông tin liên lạc nhạy cảm, về cơ bản nó hoạt động giống như một công cụ phần mềm gián điệp.


APT36 là một nhóm đe dọa liên kết với Pakistan và được biết đến với việc sử dụng các ứng dụng Android độc hại hoặc có liên kết để tấn công các cơ quan Chính phủ và quốc phòng Ấn Độ, những người chịu trách nhiệm giải quyết các vấn đề của khu vực Kashmir và các nhà hoạt động nhân quyền ở Pakistan.


Chiến dịch mới nhất này được SentinelLabs phát hiện. Chiến dịch này cảnh báo những người và tổ chức có liên quan đến quân sự hoặc ngoại giao ở Ấn Độ và Pakistan phải hết sức cảnh giác với các ứng dụng YouTube Android được lưu trữ trên các trang web của bên thứ ba.


Mạo danh YouTube

Các APK độc hại được sử dụng bên ngoài Google Play là cửa hàng ứng dụng chính thức của Android, vì vậy rất có thể nạn nhân đã được thiết kế để tải xuống và cài đặt chúng.


Các APK này đã được tải lên VirusTotal vào tháng 4, tháng 7 và tháng 8 năm 2023, trong đó hai tệp APK được gọi là “YouTube” và một tệp APK là “Piya Sharma” được liên kết với kênh của một nhân vật có thể được sử dụng trong các chiến thuật dựa trên chiến thuật  tình cảm.


Trong quá trình cài đặt, các ứng dụng phần mềm độc hại yêu cầu nhiều quyền nguy hiểm cho nạn nhân, một số quyền mà nạn nhân có thể xử lý mà không nghi ngờ gì đối với ứng dụng truyền phát phương tiện như YouTube.

Quyền được yêu cầu trong quá trình cài đặt (SentinelLabs)




Giao diện của các ứng dụng độc hại đã bắt chước ứng dụng YouTube thực của Google, nhưng nó giống một trình duyệt web hơn là ứng dụng gốc do sử dụng WebView từ bên trong ứng dụng bị trojan hóa để tải dịch vụ. Ngoài ra, nó còn thiếu một số tính năng có sẵn trên nền tảng thực tế.

Giao diện của ứng dụng giả mạo (SentinelLabs)




Khi CapraRAT được thiết lập và chạy trên thiết bị sẽ thực hiện các hành động sau:

  • Ghi âm bằng micro, camera trước và sau
  • Thu thập nội dung tin nhắn SMS, tin nhắn đa phương tiện, nhật ký cuộc gọi
  • Gửi tin nhắn SMS, chặn tin nhắn SMS đến
  • Bắt đầu cuộc gọi điện thoại
  • Chụp ảnh màn hình
  • Ghi đè cài đặt hệ thống như GPS & Mạng
  • Sửa đổi tập tin trên hệ thống tập tin của điện thoại


SentinelLabs cho biết các biến thể CapraRAT được phát hiện trong chiến dịch gần đây có những cải tiến về tính năng so với các mẫu được phân tích trước đó, điều này cho thấy sự gia tăng liên tục của chúng.


Về cách chúng phân bổ hoạt động, các địa chỉ máy chủ C2 (ra lệnh và kiểm soát) mà CapraRAT giao tiếp được mã hóa cứng trong tệp cấu hình của ứng dụng và được liên kết với các hoạt động của Transparent Tribe trước đây.


Một số địa chỉ IP được SentinelLabs truy xuất được liên kết với các chiến dịch RAT khác, mặc dù mối liên quan chính xác giữa các tác nhân đe dọa và những địa chỉ đó vẫn chưa rõ ràng.


Tóm lại, Transparent Tribe tiếp tục các hoạt động gián điệp mạng ở Ấn Độ và Pakistan, sử dụng RAT Android đặc trưng của mình, hiện được cải trang thành YouTube, thể hiện sự tiến hóa và khả năng thích ứng.


SentinelLabs nhận thấy rằng mặc dù khả năng bảo mật hoạt động yếu kém của nhóm đe dọa khiến các chiến dịch và công cụ của chúng dễ dàng bị xác định, nhưng việc liên tục triển khai các ứng dụng mới mang lại nhiều lợi thế khó nắm bắt để chúng liên tục tiếp cận các nạn nhân tiềm năng mới.


Cập nhật ngày 21/9 – Người phát ngôn của Google đã gửi cho BleepingComputer nhận xét sau:

Dựa trên phát hiện hiện tại của chúng tôi, không tìm thấy ứng dụng nào chứa phần mềm độc hại này trên Google Play.

Google Play Protect bảo vệ người dùng khỏi các ứng dụng được biết là có chứa phần mềm độc hại này trên thiết bị Android có Dịch vụ của Google Play, ngay cả khi những ứng dụng đó đến từ các nguồn khác

Nguồn: bleepingcomputer.com

Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin

Nguồn : https://www.john-partners.us/nhom-tin-tac-apt36-lay-nhiem-cac-thiet-bi-android-bang-cach-su-dung-ban-sao-ung-dung-youtube


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »