Le groupe de piratage APT36, alias « Transparent Tribe », a été observé en train d’utiliser au moins trois applications Android qui imitent YouTube pour infecter les appareils avec leur cheval de Troie d’accès à distance (RAT), « CapraRAT ».
Une fois le logiciel malveillant installé sur l’appareil d’une victime, il peut récolter des données, enregistrer de l’audio et de la vidéo ou accéder à des informations de communication sensibles, fonctionnant essentiellement comme un outil de logiciel espion.
APT36 est un acteur menaçant aligné sur le Pakistan, connu pour utiliser des applications Android malveillantes ou malveillantes pour attaquer les entités de défense et gouvernementales indiennes, celles qui s’occupent des affaires de la région du Cachemire et les militants des droits de l’homme au Pakistan.
Cette dernière campagne a été repérée par SentinelLabs, qui avertit les personnes et organisations liées à l’armée ou à la diplomatie en Inde et au Pakistan de se méfier des applications YouTube Android hébergées sur des sites tiers.
Usurpation de l’identité de YouTube
Les APK malveillants sont distribués en dehors de Google Play, la boutique d’applications officielle d’Android, de sorte que les victimes sont très probablement socialement conçues pour les télécharger et les installer.
Les APK ont été téléchargés sur VirusTotal en avril, juillet et août 2023, deux d’entre eux étant appelés « YouTube » et un « Piya Sharma » associé à la chaîne d’un personnage probablement utilisé dans des tactiques basées sur la romance.
Lors de l’installation, les applications malveillantes demandent de nombreuses autorisations risquées, dont certaines peuvent être traitées sans méfiance par la victime pour une application de streaming multimédia comme YouTube.
L’interface des applications malveillantes tente d’imiter la véritable application YouTube de Google, mais elle ressemble à un navigateur Web plutôt qu’à l’application native en raison de l’utilisation de WebView depuis l’application cheval de Troie pour charger le service. En outre, il manque plusieurs fonctionnalités disponibles sur la plate-forme actuelle.
Une fois que CapraRAT est opérationnel sur l’appareil, il effectue les actions suivantes :
- Enregistrement avec le microphone, les caméras avant et arrière
- Collecte du contenu des SMS et des messages multimédias, journaux d’appels
- Envoi de messages SMS, blocage des SMS entrants
- Lancer des appels téléphoniques
- Prendre des captures d’écran
- Remplacement des paramètres du système tels que le GPS et le réseau
- Modification de fichiers sur le système de fichiers du téléphone
SentinelLabs rapporte que les variantes CapraRAT repérées lors de la récente campagne présentent des améliorations par rapport aux échantillons analysés précédemment, indiquant un développement continu.
Concernant l’attribution, les adresses du serveur C2 (commande et contrôle) avec lesquelles CapraRAT communique sont codées en dur dans le fichier de configuration de l’application et ont été associées aux activités passées de Transparent Tribe.
Certaines adresses IP récupérées par SentinelLabs sont liées à d’autres campagnes RAT, bien que la relation exacte entre les acteurs de la menace et ceux-ci reste floue.
En conclusion, Transparent Tribe poursuit ses activités de cyberespionnage en Inde et au Pakistan, en utilisant sa signature Android RAT, désormais déguisée en YouTube, faisant preuve d’évolution et d’adaptabilité.
SentinelLabs observe que même si la faible sécurité opérationnelle du groupe malveillant rend ses campagnes et ses outils facilement identifiables, le déploiement continu de nouvelles applications leur donne un avantage insaisissable, atteignant systématiquement de nouvelles victimes potentielles.