انتشار بدافزار CapraRAT در دستگاه‌های اندروید

انتشار بدافزار CapraRAT در دستگاه‌های اندروید

تاریخ ایجاد

گروه هک APT36، با نام Transparent Tribe، با استفاده از حداقل سه برنامه اندرویدی که از YouTube تقلید می‌کنند، دستگاه‌ها را با تروجان دسترسی از راه دور امضا شده خود (RAT)  وCapraRAT آلوده می‌کنند.
 CapraRAT یک RAT تهاجمی است که به مهاجمان، امکان کنترل بسیاری از داده‌های دستگاه های آلوده را ایجاد می‌کند. مهاجمان از برنامه‌های جعلی YouTube Android که در وب‌سایت‌های قربانی میزبانی شده اند، برای توزیع CapraRAT استفاده می‌کنند.

جزئیات آسیب‌پذیری
محققان امنیت سایبری، در Sentinel Labs اخیرا گزارش کرده‌اند که عوامل تهدید، از بدافزار اندروید CapraRAT برای ربودن دستگاه‌های اندرویدی با تقلید از برنامه YouTube اکسپلویت می‌کنند.
 CapraRATابزاری تهاجمی است که به مهاجم این امکان را ایجاد می‌کند که با آلوده کردن دستگاه‌های اندرویدی، به کنترل بسیاری از داده‌های آن دست یابد و در طول مراحل نصب برنامه‌ها، مجوزهای خطرناکی را درخواست می‌کند.
 این بدافزار می‌تواند داده‌ها را استخراج کند، صدا/تصویر ضبط کند، به‌عنوان نرم‌افزار جاسوسی قوی عمل کند و به داده‌های ارتباطی حساس دسترسی پیدا کند. همچنین می‌تواند تماس برقرار کند، پیام‌های SMS را رهگیری/مسدود کند، و تنظیمات GPS و شبکه را لغو کند و اطلاعات استخراج شده، در سرور کنترل شده توسط مهاجم آپلود شود.
بدافزارCapraRAT، به‌عنوان برنامه‌های پیام‌رسان/تماس امن تروجانیزه‌شده با نام‌های MeetsApp و MeetUp تبلیغ می‌شود و از طریق فریب‌های مهندسی اجتماعی توزیع می‌شود.
هدف مهاجم، جمع‌آوری اطلاعات و استفاده از ابزارها برای نفوذ به سیستم‌های ویندوز، لینوکس و اندروید است. این برنامه‌ها با عنوان YouTube برای اندروید ظاهر می شوند، اما نسخه های جعلی هستند که با اهداف مخرب راه اندازی شده اند. مهاجم این برنامه‌ها را برای تقلید از برنامه واقعی  YouTube طراحی کرده است. به عنوان مثال، برنامه‌ها به دلیل استفاده از WebView برای بارگیری سرویس و فاقد بسیاری از ویژگی‌های امضای پلت فرم اصلی، شبیه مرورگرهای وب به نظر می‌رسند.

توصیه‌های امنیتی
هیچ برنامه‌ای حاوی این بدافزار در Google Play یافت نشده است. Google Play Protect، از کاربران در برابر برنامه‌های شناخته شده، حاوی این بدافزار در دستگاه‌های Android با سرویس‌های Google  Play محافظت می‌کند. از این رو، به کاربران توصیه می‌شود حتماً از Google Play برای دانلود برنامه‌های ایمن اندروید استفاده کنند.
کاربران باید مراقب کلیک کردن روی لینک‌های موجود در ایمیل‌ها یا پست‌های رسانه‌های اجتماعی از فرستندگان ناشناس باشند. همچنین، باید دستگاه¬ها و برنامه‌های خود را با آخرین وصله‌های امنیتی به روز رسانی کنند. سازمان¬ها باید بهترین شیوه‌های امنیتی مانند تایید هویت چند عاملی و آموزش آگاهی از امنیت کارکنان را اجرا کنند.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/apt36-state-hackers-infect-android-devices-using-you…
[2] https://cybersecuritynews.com/caprarat-hijack-android-phones
[3] https://www.hackread.com/fake-youtube-android-apps-caprarat