Il gruppo hacker APT36, conosciuto anche come Transparent Tribe, sta sfruttando almeno tre app Android spacciate per YouTube al fine di infettare più dispositivi possibili. La campagna prevede, attraverso il software malevolo, l’installazione del trojan di accesso remoto CapraRAT.
Il malware in questione, una volta installato sul dispositivo della vittima, può raccogliere dati, registrare audio e video o accedere a informazioni sensibili grazie a funzionalità che lo rendono simile a uno spyware.
APT36 è un gruppo allineato al governo del Pakistan, già noto per l’utilizzo di app Android dannose e attacchi mirati alle entità governative indiane. Quest’ultima campagna è stata individuata da SentinelLabs, che avverte le persone e le organizzazioni legate all’esercito o alla diplomazia in India e Pakistan di prestare molta attenzione alle app YouTube Android ospitate su siti di terze parti.
Almeno 3 cloni dell’app YouTube diffondono il malware CapraRAT
I cloni di YouTube di cui stiamo parlando sono diffusi su siti esterni a Google Play, attraverso file APK dannosi. In alcuni casi, i software malevoli sono denominati semplicemente “YouTube” in altri vasi si presentano come app specifiche riguardanti canali della piattaforma popolari in India.
Come da prassi in questo contesto, durante l’installazione le app malware richiedono numerose autorizzazioni sensibili, alcune delle quali la vittima potrebbe considerare senza sospetti nel contesto di un’app di streaming multimediale come YouTube.
Una volta che CapraRAT è installato e attivo, questo agente malevolo è in grado di:
- registrare con microfono, fotocamere anteriori e posteriori ciò che avviene intorno al dispositivo;
- ottenere SMS e registri delle chiamate;
- inviare SMS e intercettare quelli in arrivo;
- avviare telefonate;
- catturare screenshot del display;
- manipolare impostazioni di sistema come il rilevamento GPS
- modificare i file di sistema del telefono.
Nonostante questa minaccia sia, almeno al momento, circoscritta a una porzione del continente asiatico, dimostra quanto siano pericolosi i file APK.
In questo senso, nonostante le recenti precauzioni di Google, risulta ancora buona prassi affidarsi solo a Google Play evitando store di terze parti o, ancora peggio, siti che permettono il download diretto degli APK.