Pakistan bağlantılı Transparent Tribe (diğer adıyla APT 36, Operation C-Major), verilerinizi çalmak için popüler uygulamalar olarak bir Android casus yazılımı olan CapraRAT’ı gizler. Kendinizi bu dolandırıcılıklardan nasıl koruyacağınızı öğrenin.
SentinelLabs siber güvenlik araştırmacıları, Pakistan bağlantılı bilgisayar korsanlığı grubu Transparent Tribe (diğer adıyla APT 36, Operation C-Major) ile bağlantılı yeni bir Android casus yazılım dalgasını ortaya çıkardı.
Araştırmacılar, aktöre bağlı dört yeni CapraRAT APK’sı (Android uygulama paketi) keşfettiler, hepsi saldırgana Android cihaz verileri üzerinde kontrol sağlayan son derece istilacı bir casus yazılım olan CapraRAT’ı yüklüyor. Kötü amaçlı yazılım görünüşte zararsız uygulamalar olarak gizleniyor – Crazy Games, S*xy Videos, Weapons ve TikTok.
Bu durum, grubun hedef kitlesini mobil oyuncular, silah tutkunları ve TikTok kullanıcılarını da kapsayacak şekilde genişlettiğini ve daha önce Hindistan hükümeti ve askeri personele odaklandıklarını, bundan önemli ölçüde uzaklaştığını gösteriyor.
SentinelLabs’in blog yazısına göre araştırmacılar, aktörün modern Android cihazlar için temel işlevleri aynı tutarken temel kodu güncelledikten sonra bile, düzenlenmiş video tarama uygulamalarına casus yazılım yerleştirmeye devam ettiğini buldu.
Bilginize, Eylül 2023’te SentinelLabs, Transparent Tribe’ın CapraRAT mobil uzaktan erişim trojanına bağlı üç APK keşfetti. Bu uygulamalar, YouTube’un görünümünü taklit ederken, meşru Android YouTube uygulamasından daha az özellikliydi.
S*xy Videos uygulaması: S*xy Videos uygulaması YouTube’u uygulamanın temasıyla ilgili bir sorguyla başlatır ve benzer şekilde TikTok uygulaması YouTube’u “Tik Toks” sorgusuyla başlatırken, Weapons uygulaması klasik silahları inceleyen ve 2,7 milyon abonesi olan Forgotten Weapons YouTube kanalını başlatır. Bu, önceki kampanyanın Piya Sharma adlı bir APK ile romantik temalı bir sosyal mühendislik bahanesini kullanmasını ve YouTube’u sorgusuz başlatmasını takip ediyor.
Crazy Games uygulaması: Crazy Games uygulaması, kullanıcıların GPS konumuna erişme, ağ durumunu yönetme, SMS okuma ve gönderme, kişileri okuma, ses ve ekran kaydı yapma, depolama okuma ve yazma erişimi, kamerayı kullanma ve arama geçmişini görüntüleme vb. gibi riskli izinler vermesini gerektiren bir gözetleme aracıdır.
En son CapraRAT sürümleri, herhangi bir silahlandırma belirtisi olmadan YouTube veya CrazyGames’e URL’leri başlatmak için WebView’ı kullanır, çünkü SMS, aramalar, kişiler veya ses/görüntü kaydı gibi önemli CapraRAT izinlerine ihtiyaç duymaz.
Araştırmacılar, “Yeni CapraRAT paketleri ayrıca, geliştiricilerin uyumluluğu artırmak için bir projeye dahil etmeyi seçebileceği Android Destek Kütüphanesi aracılığıyla Android’in eski sürümleriyle uyumluluğu sürdürmekten sorumlu olan WebView adlı çok basit bir yeni sınıf da içeriyor” dedi.
CapraTube remix kampanyası, güvenilir olmayan kaynaklardan uygulama indiren bireyleri hedef alıyor. Güvende kalmak için Google Play gibi resmi mağazaları tercih edin, uygulama izinlerini inceleyin, bilmediğiniz bir uygulamayı indirmeden önce bağımsız incelemeleri okuyun ve Android cihazınıza saygın bir güvenlik çözümü yükleyin ve koruyun.