L’attore delle minacce noto come Transparent Tribe starebbe utilizzando app Android dannose camuffate da app a tema YouTube per distribuire il trojan di accesso remoto (RAT) per dispositivi mobile CapraRAT.
CapraRAT e APT36
Come si legge nel rapporto SentinelOne, CapraRAT è uno strumento molto invasivo che consente di ottenere il controllo sui dispositivi Android infettati, di avviare chiamate telefoniche oltre ad intercettare e bloccare i messaggi SMS in arrivo.
Transparent Tribe, noto anche come APT36, è invece un attore probabilmente legato al Pakistan che facendo affidamento su di una vasta gamma di strumenti che consentono l’infiltrazione nei sistemi è specializzato in attività di raccolta informazioni su personale militare e diplomatico, propagando il RAT in oggetto con tecniche d’ingegneria sociale e nascondendolo in app trojanizzate.
Gli ultimi file APK scoperti
Gli ultimi pacchetti Android (file APK) scoperti da SentinelOne sarebbero:
- Due app a tema YouTube (yt.apk, YouTube_052647.apk);
- Un’app che punta ad impersonare un canale YouTube di Piya Sharma.
Utilizzo di app Android come spyware
Una volta installate, le app richiedono autorizzazioni intrusive che consentono al malware di raccogliere un vasto insieme di dati sensibili e di esfiltrarli su un server presidiato dagli attori criminali.
“La decisione del gruppo di creare un’app simile a YouTube è una nuova aggiunta a una tendenza nota del gruppo che utilizza come arma le applicazioni Android con spyware e le distribuisce a obiettivi attraverso i social media.”, conclude l’alista Alex Delamotte.
Anche se la minaccia sembrerebbe geograficamente circoscritta è sempre consigliabile:
- Non installare versioni di applicazioni Android scaricando i relativi APK da store o siti di terze parti;
- Diffidare delle applicazioni pubblicizzate nelle comunità social media;
- Valutare la concessione delle autorizzazioni richieste da una nuova applicazione durante la sua fase d’installazione.
Altri dettagli e gli IoC sono disponibili sul rapporto SentinelOne.
