I ricercatori di SentinelOne hanno individuato tre app Android che offrono funzionalità simili a quelle di YouTube. In realtà nascondono il malware CapraRAT che può rubare diversi dati dallo smartphone. Le app vengono distribuite tramite file APK. Google ha infatti confermato che non sono presenti sul Play Store, ma vengono ugualmente bloccate dalla funzionalità Play Protect.
CapraTube: CapraRAT in app fake di YouTube
Le tre app sono state utilizzate per attività di cyberspionaggio (la campagna è stata denominata CapraTube da SentinelOne). CapraRAT è stato già sfruttato da cybercriminali pachistani per spiare diplomatici, militari e difensori dei diritti umani. Per convincere le vittime ad installare le app viene usata la tecnica dell’ingegneria sociale.
L’icona delle app è simile a quelle dell’app YouTube legittima. Quando eseguite mostrano il sito del servizio di Google (tramite WebView), quindi gli utenti non si accorgono di nulla. In realtà, al momento dell’installazione, vengono chiesti permessi eccessivi, come quello di visualizzare gli SMS.
CapraRAT può registrare audio dal microfono e video dalla fotocamera, leggere, inviare e bloccare gli SMS, accedere alla cronologia delle chiamate, effettuare una chiamata, catturare screenshot, modificare i file, sovrascrivere le impostazioni di sistema per GPS e WiFi. In pratica è uno spyware. Tutti i dati vengono successivamente inviati al server C2 (command and control).
Gli esperti di SentinelOne consigliano di installare solo le app ufficiali presenti sul Google Play Store e di controllare attentamente i permessi, in quanto alcuni di essi non dovrebbero essere necessari.
Ti potrebbe interessare
21 set 2023