Un gruppo di hacker, probabilmente legato al Pakistan, sta usando app Android dannose per diffondere un trojan di accesso remoto (RAT) chiamato CapraRAT. Questo malware è in grado di controllare i dispositivi infettati, avviare chiamate, intercettare e bloccare i messaggi SMS.
Le app usate per distribuire il trojan sono camuffate da app a tema YouTube, tra cui una che imita un canale di Piya Sharma. CapraRAT è uno strumento di spionaggio molto invasivo che fa parte dell’arsenale di Transparent Tribe, noto anche come APT36. Questo attore delle minacce è specializzato in attività di raccolta informazioni su personale militare e diplomatico, soprattutto in India. Transparent Tribe usa tecniche di ingegneria sociale per indurre le vittime a installare le app “untrici”, che richiedono autorizzazioni intrusive per accedere ai dati sensibili dei dispositivi.
Il rapporto di SentinelOne rivela che gli attaccanti hanno usato due app che imitano YouTube (yt.apk, YouTube_052647.apk) e un’altra app che finge di essere il canale YouTube di Piya Sharma per diffondere CapraRAT a bersagli specifici tramite i social media. Queste app sono file APK Android recenti che sono stati scoperti dai ricercatori.
Una volta installate, le app inviano i dati raccolti a un server controllato dagli hacker. Tra i dati esfiltrati ci sono: numero di telefono, modello del dispositivo, versione di Android, lista delle app installate, lista dei contatti, lista dei messaggi SMS, posizione GPS, foto e video salvati nella memoria interna o esterna. SentinelOne ha rilevato che il gruppo ha aggiornato il suo RAT mobile con nuove funzionalità, tra cui la capacità di avviare chiamate telefoniche e di intercettare e bloccare i messaggi SMS in arrivo.
Queste funzionalità potrebbero essere usate per eludere le misure di sicurezza basate sull’autenticazione a due fattori (2FA) o per impedire alle vittime di ricevere avvisi o richieste di conferma da parte delle loro banche o altri servizi. Per proteggersi da questo tipo di minacce, è consigliabile non installare versioni di applicazioni Android scaricando i relativi APK da store o siti di terze parti, diffidare delle applicazioni pubblicizzate nelle comunità social media e valutare la concessione delle autorizzazioni richieste da una nuova applicazione durante la sua fase d’installazione.