Bleeping Computer 網(wǎng)站披露，研究人員發(fā)現(xiàn) APT 36 黑客組織（又名“透明部落”），正在使用至少三款模仿 YouTube 的安卓應(yīng)用程序，用其標(biāo)志性遠(yuǎn)程訪問木馬“CapraRAT”感染目標(biāo)設(shè)備，一旦受害者設(shè)備被安裝了該惡意軟件，網(wǎng)絡(luò)攻擊者便可以收集其數(shù)據(jù)、錄制音頻和視頻或訪問敏感的通信信息。

在 SentinelLabs 發(fā)現(xiàn)了這一最新攻擊活動后，警告與印度和巴基斯坦軍事或外交有關(guān)的人員和組織要對第三方網(wǎng)站上托管的 YouTube Android 應(yīng)用程序保持高度警惕。（APT36 組織以使用惡意安卓應(yīng)用程序，攻擊印度國防和政府實(shí)體、克什米爾地區(qū)事務(wù)的實(shí)體以及巴基斯坦的人權(quán)活動家而聞名。）

惡意軟件冒充 YouTube

研究人員表示這些惡意軟件不存在于安卓系統(tǒng)的官方應(yīng)用商店 Google Play 上，因此可以推測受害者很可能是通過社交工程下載并安裝。（ 惡意軟件分別于 2023 年 4 月、7 月和 8 月被上傳到了 VirusTotal，其中兩個名為 "YouTube"，一個名為 "Piya Sharma"。）

安裝過程中，惡意軟件應(yīng)用程序會請求許多有風(fēng)險的權(quán)限，其中一些權(quán)限受害者可能會在不懷疑 YouTube 等媒體流應(yīng)用程序的情況下進(jìn)行處理。

安裝過程中請求的權(quán)限（SentinelLabs）

惡意應(yīng)用程序界面也在試圖模仿 YouTube 應(yīng)用程序，但它類似于網(wǎng)絡(luò)瀏覽器，而不是本地應(yīng)用程序，因?yàn)槠涫褂昧四抉R應(yīng)用程序中的 WebView 加載服務(wù)。此外，惡意軟件還錯過了實(shí)際平臺上可用的幾個功能。

偽造應(yīng)用程序的界面

一旦 CapraRAT 成功在受害者設(shè)備上安裝運(yùn)行，就會執(zhí)行以下操作：

• 使用麥克風(fēng)、前置和后置攝像頭錄音；
• 收集短信和彩信內(nèi)容、通話記錄；
• 發(fā)送短信、阻止接收短信；
• 撥打電話；
• 截屏；
• 覆蓋 GPS 和網(wǎng)絡(luò)等系統(tǒng)設(shè)置；
• 修改手機(jī)文件系統(tǒng)中的文件。

SentinelLabs 指出最近發(fā)現(xiàn)的 CapraRAT 變種比以前分析過的樣本有了改進(jìn)，這表明它正在不斷迭代發(fā)展。此外，SentinelLabs 還檢索到的一些 IP 地址與其他 RAT 活動有關(guān)聯(lián)，但威脅攻擊者與這些活動之間的確切關(guān)系目前尚不清楚。

總之，APT 36 一直使用其標(biāo)志性的安卓 RAT在印度和巴基斯坦開展網(wǎng)絡(luò)間諜活動，現(xiàn)在開始偽裝成 YouTube，彰顯出其高超的進(jìn)化和適應(yīng)能力。

文章來源：https://www.bleepingcomputer.com/news/security/apt36-state-hackers-infect-android-devices-using-youtube-app-clones/