Хакеры заражают устройства Android с помощью клонов приложения YouTube

Хакерская группа APT36, также известная как Transparent Tribe, использовала по меньшей мере три приложения для Android, имитирующих YouTube, чтобы заражать устройства своим трояном удаленного доступа (RAT) CapraRAT.

После установки вредоносного ПО на устройстве жертвы оно может собирать данные, записывать аудио и видео или получать доступ к конфиденциальной информации, по сути, работая как инструмент шпионского программного обеспечения.

APT36 — это пакистанский угрожающий актор, известный тем, что использует вредоносные или дополненные приложения Android для атак на индийские оборонные и государственные учреждения, занимающиеся делами региона Кашмир, и правозащитников в Пакистане.

Эта последняя кампания была замечена SentinelLabs, которая предупреждает людей и организации, связанные с военными или дипломатией в Индии и Пакистане, быть очень осторожными по отношению к программам YouTube для Android, размещенным на сторонних сайтах. Вредоносные APK-файлы распространяются вне Google Play, официального магазина приложений Android, поэтому жертвы, скорее всего, спровоцированы социальной инженерией, чтобы загрузить и установить их.

APK-файлы были загружены на VirusTotal в апреле, июле и августе 2023 года, причем два из них назывались «YouTube», а один — «Piya Sharma», связанный с каналом персонажа, который, вероятно, использовался в тактике, основанной на любви.

При установке программы вредоносного ПО запрашивают многочисленные рискованные разрешения, некоторые из которых жертва может без подозрения воспринимать программу потоковой передачи медиа, например YouTube.