گروه هک APT36، با نام Transparent Tribe، با استفاده از حداقل سه برنامه اندرویدی که از YouTube تقلید میکنند، دستگاهها را با تروجان دسترسی از راه دور امضا شده خود (RAT) وCapraRAT آلوده میکنند.
CapraRAT یک RAT تهاجمی است که به مهاجمان، امکان کنترل بسیاری از دادههای دستگاه های آلوده را ایجاد میکند. مهاجمان از برنامههای جعلی YouTube Android که در وبسایتهای قربانی میزبانی شده اند، برای توزیع CapraRAT استفاده میکنند.
جزئیات آسیبپذیری
محققان امنیت سایبری، در Sentinel Labs اخیرا گزارش کردهاند که عوامل تهدید، از بدافزار اندروید CapraRAT برای ربودن دستگاههای اندرویدی با تقلید از برنامه YouTube اکسپلویت میکنند.
CapraRATابزاری تهاجمی است که به مهاجم این امکان را ایجاد میکند که با آلوده کردن دستگاههای اندرویدی، به کنترل بسیاری از دادههای آن دست یابد و در طول مراحل نصب برنامهها، مجوزهای خطرناکی را درخواست میکند.
این بدافزار میتواند دادهها را استخراج کند، صدا/تصویر ضبط کند، بهعنوان نرمافزار جاسوسی قوی عمل کند و به دادههای ارتباطی حساس دسترسی پیدا کند. همچنین میتواند تماس برقرار کند، پیامهای SMS را رهگیری/مسدود کند، و تنظیمات GPS و شبکه را لغو کند و اطلاعات استخراج شده، در سرور کنترل شده توسط مهاجم آپلود شود.
بدافزارCapraRAT، بهعنوان برنامههای پیامرسان/تماس امن تروجانیزهشده با نامهای MeetsApp و MeetUp تبلیغ میشود و از طریق فریبهای مهندسی اجتماعی توزیع میشود.
هدف مهاجم، جمعآوری اطلاعات و استفاده از ابزارها برای نفوذ به سیستمهای ویندوز، لینوکس و اندروید است. این برنامهها با عنوان YouTube برای اندروید ظاهر می شوند، اما نسخه های جعلی هستند که با اهداف مخرب راه اندازی شده اند. مهاجم این برنامهها را برای تقلید از برنامه واقعی YouTube طراحی کرده است. به عنوان مثال، برنامهها به دلیل استفاده از WebView برای بارگیری سرویس و فاقد بسیاری از ویژگیهای امضای پلت فرم اصلی، شبیه مرورگرهای وب به نظر میرسند.
توصیههای امنیتی
هیچ برنامهای حاوی این بدافزار در Google Play یافت نشده است. Google Play Protect، از کاربران در برابر برنامههای شناخته شده، حاوی این بدافزار در دستگاههای Android با سرویسهای Google Play محافظت میکند. از این رو، به کاربران توصیه میشود حتماً از Google Play برای دانلود برنامههای ایمن اندروید استفاده کنند.
کاربران باید مراقب کلیک کردن روی لینکهای موجود در ایمیلها یا پستهای رسانههای اجتماعی از فرستندگان ناشناس باشند. همچنین، باید دستگاه¬ها و برنامههای خود را با آخرین وصلههای امنیتی به روز رسانی کنند. سازمان¬ها باید بهترین شیوههای امنیتی مانند تایید هویت چند عاملی و آموزش آگاهی از امنیت کارکنان را اجرا کنند.
منابع خبر:
[1]https://www.bleepingcomputer.com/news/security/apt36-state-hackers-infect-android-devices-using-you…
[2] https://cybersecuritynews.com/caprarat-hijack-android-phones
[3] https://www.hackread.com/fake-youtube-android-apps-caprarat
- 89