Le groupe de pirates APT36, également connu sous le nom de ” Transparent Tribe “, a été découvert en train d'utiliser des applications Android malveillantes imitant YouTube pour infecter les appareils de leurs cibles avec le cheval de Troie d'accès à distance (RAT) mobile appelé ” CapraRAT “.
Pour ceux qui l'ignorent, APT36 (ou Transparent Tribe) est un groupe de pirates soupçonné d'être lié au Pakistan et principalement connu pour utiliser des applications Android malveillantes afin d'attaquer des agences gouvernementales et de défense indiennes, des organisations impliquées dans la région du Cachemire, ainsi que des militants des droits de l'homme travaillant sur des questions liées au Pakistan.
SentinelLabs, une entreprise de cybersécurité, a pu identifier trois paquets d'applications Android (APK) liés au CapraRAT de Transparent Tribe, qui imitait l'apparence de YouTube.
“CapraRAT est un outil très invasif qui donne à l'attaquant le contrôle d'une grande partie des données des appareils Android qu'il infecte”, a écrit Alex Delamotte, chercheur en sécurité chez SentinelLabs, dans une analyse publiée lundi.
Selon les chercheurs, les APK malveillants ne sont pas distribués par le Google Play Store d'Android, ce qui signifie que les victimes sont très probablement manipulées socialement pour télécharger et installer l'application à partir d'une source tierce.
L'analyse des trois APK a révélé qu'ils contenaient le cheval de Troie CapraRAT et qu'ils ont été téléchargés sur VirusTotal en avril, juillet et août 2023. Deux des APK CapraRAT portaient le nom de ” YouTube “, et l'autre celui de ” Piya Sharma “, associé à une chaîne potentiellement utilisée pour des techniques d'ingénierie sociale basées sur la romance afin de convaincre les cibles d'installer les applications.
La liste des applications est la suivante :
- Base.media.service
- bouge.media.tubes
- videos.watchs.share
Pendant l'installation, les apps demandent un certain nombre d'autorisations risquées, dont certaines peuvent initialement sembler inoffensives pour la victime pour une app de streaming multimédia comme YouTube et la traiter sans méfiance.
L'interface des applis malveillantes tente d'imiter la véritable appli YouTube de Google, mais ressemble plus à un navigateur web qu'à une appli en raison de l'utilisation de WebView depuis l'appli trojanisée pour charger le service. Elles sont également dépourvues de certaines caractéristiques et fonctions disponibles dans l'application Android YouTube native légitime.
Selon SentinelLabs, les récentes variantes de CapraRAT trouvées au cours de la campagne actuelle indiquent un développement continu du logiciel malveillant par Transparent Tribe.
En ce qui concerne l'attribution, les adresses IP des serveurs de commande et de contrôle (C2) avec lesquels CapraRAT communique sont codées en dur dans le fichier de configuration de l'application et ont été associées à des activités passées du groupe de pirates.
Cependant, certaines adresses IP ont été liées à d'autres campagnes de RAT, bien que la relation exacte entre ces acteurs de la menace et Transparent Tribe reste floue.
“Transparent Tribe est un acteur pérenne aux habitudes fiables. La barre de sécurité opérationnelle relativement basse permet une identification rapide de leurs outils.
Les personnes et les organisations liées à des questions diplomatiques, militaires ou militantes dans les régions de l'Inde et du Pakistan devraient évaluer la défense contre cet acteur et cette menace”, conclut Delamotte.
