Pakistan bağlantılı olduğu bilinen bir tehdit aktörü, Android cihazlarını ele geçirmek için YouTube’u taklit eden Android tabanlı casus yazılımları yaymak için romantik içerikli içerikleri sallıyor. Bu şekilde tehdit aktörleri, siber casusluk ve gözetleme faaliyetleri amacıyla kurbanların cep telefonları üzerinde neredeyse tam kontrol sahibi oluyor.
SentinelLabs araştırmacıları, Transparent Tribe’ın CapraRAT’ına (uzaktan erişim Truva atı) bağlı üç Android uygulama paketi (APK) tespit ettiklerini, 18 Eylül’de yayınlanan bir blog yazısında açıkladılar.
Paketlerden ikisi, kullanıcıları meşru YouTube uygulaması olduğunu düşündükleri şeyi indirmeleri için kandırmayı amaçlıyor ve üçüncüsü, “Piya Sharma” adlı bir şahsa ait olan ve çeşitli uygulamaların yüklemelerini içeren bir YouTube kanalına ulaşarak romantizme dayalı sosyal mühendislik kullanıyor. çeşitli yerlerdeki bir kadının kısa klipleri.
SentinelLabs güvenlik araştırmacısı Alex Delamotte, gönderisinde “Bu uygulamalar YouTube’un görünümünü taklit ediyor, ancak yasal yerel Android YouTube uygulamasına göre daha az özellikli” dedi.
APT36 ve Earth Karkaddan olarak da bilinen Transparent Tribe, 2013’ten beri aktif olan ve genellikle hem Hindistan hem de Pakistan’daki askeri ve diplomatik personeli hedef alan Pakistanlı bir tehdit grubudur; daha yeni kampanyalar ise Hindistan’ın eğitim sektörünü hedef almaktadır. Grup ayrıca uzaktan çalışanlara yönelik saldırı dalgasının bir parçası olarak COVID-19 sırasında da aktifti.
Kötü Amaçlı Android Uygulamalarında Gizlenmek
Transparent Tribe, saldırılarda Android tabanlı casus yazılım kullanma eğiliminde olmasına rağmen, aynı zamanda kötü amaçlı Office belgelerinin arkasına kötü amaçlı yükleri de gizlemektedir. Geçtiğimiz yılın başında TrendMicro tarafından keşfedilen ve isimlendirilen CapraRAT, grubun Android kullanıcılarına karşı tercih ettiği son silahtır ve belirgin bir şekilde tanımlanabilir yapıya sahiptir; kötü amaçlı yazılım, görünüşte RAT özelliklerini başka bir uygulamanın içine gizleyen bir Android çerçevesidir.
Transparent Tribe, kullanıcıları silahlı bir uygulama yüklemeye ikna etmek için kendi kendine çalışan web sitelerine ve sosyal mühendisliğe dayanarak kötü amaçlı yazılım dağıtan Android uygulamalarını Google Play Store dışında dağıtıyor. Bu yılın başındaki bir kampanyada grup, CapraRAT’ı, kötü amaçlı yazılımın yayılması için ortak bir cazibe teması haline gelen flört servisi olarak gizlenen Android uygulamaları aracılığıyla da dağıttı.
Delamotte, “Grubun YouTube benzeri bir uygulama yapma kararı, grubun Android uygulamalarını casus yazılımlarla silahlandırdığı ve bunları sosyal medya aracılığıyla hedeflere dağıttığı bilinen eğilimine yeni bir katkıdır” diye yazdı.
Şeffaf Kabile, CapraRAT’ı esas olarak tartışmalı Keşmir bölgesiyle ilgili meselelerle ilgili içgörü veya bilgiye sahip hedeflerin yanı sıra Pakistan ile ilgili konularda çalışan insan hakları aktivistlerine karşı kullandığını da sözlerine ekledi.
CapraRAT RAT İşleri Yapıyor
Araştırmacılar üç YouTube temalı CapraRAT APK’sı belirledi ve analiz etti; bunlardan ikisi YouTube’un kendisi olarak gizlenmiş ve video paylaşım hizmetinin simgesini ödünç almış, üçüncüsü ise daha önce bahsedilen YouTube kişiliğinin görüntüsünü ve benzerliğini kullanan Piya Sharma olarak adlandırılmıştı.
Delamotte, “Bu tema, oyuncunun hedefleri uygulamaları yüklemeye ikna etmek için romantizme dayalı sosyal mühendislik tekniklerini kullanmaya devam ettiğini ve Piya Sharma’nın ilgili bir kişilik olduğunu gösteriyor.” diye yazdı.
Kötü amaçlı uygulama indirildikten sonra, fotoğraf ve video çekme ve mikrofon erişimi elde etme gibi bazıları YouTube için anlamlı olan çeşitli cihaz izinleri talep ediyor. SMS mesajları gönderme, alma ve okuma yeteneği gibi istenen diğer izinler CapraRAT’ın kötü niyetini yansıtıyor.
CapraRAT’ın güvenliği ihlal edilmiş bir Android cihazdaki diğer yetenekleri şunları içerir: cihazdaki hesapları bulma; kişi listelerine erişim; ve bir cihazın SD kartının içeriğini okumak, değiştirmek ve/veya silmek.
Uygulama başlatıldığında, YouTube’un web sitesini Android için yerel YouTube uygulamasından farklı bir şekilde yüklemek için bir WebView nesnesi kullanır. Aslında Delamotte, bunun “YouTube sayfasını mobil bir web tarayıcısında görüntülemeye benzer” olduğunu yazdı.
Android Casus Yazılımlarına Karşı Savunma Önlemleri
SentinelLabs, Hindistan veya Pakistan’daki diplomatik, askeri veya aktivist meselelerle bağlantılı bireyleri ve kuruluşları, Transparent Tribe’ın saldırılarına ve özellikle bu kampanyanın kurbanları cezbetmek için YouTube’u taklit etmesine karşı dikkatli olmaları konusunda uyarıyor.
Android kullanıcıları, Google Play mağazasının dışında dağıtılan Android uygulamalarını asla yüklememeli ve ayrıca sosyal medya topluluklarında reklamı yapılan yeni sosyal medya uygulamalarını indirmekten de kaçınmalıdır.
Bu sağduyulu önlemlerin yanı sıra, insanların riske maruz kalmamalarını sağlamak için indirdikleri bir uygulamanın talep ettiği izinleri de, özellikle yeni veya önceden bilinmeyen uygulamalar için, değerlendirmeleri gerekir. Ayrıca SentinelLabs, cihazlarında zaten mevcut olan bir uygulamanın üçüncü taraf sürümünü asla yüklememelerini tavsiye ediyor.