Kelompok peretas APT36, alias Transparan Tribe, telah diamati menggunakan setidaknya tiga aplikasi peniru YouTube penyebar RAT
RAT atau Remote Access Trojan ini bertujuan untuk menginfeksi perangkat dengan trojan akses jarak jauh (RAT) khas mereka, yang disebut CapraRAT.
Kemampuan CapraRAT
Setelah malware diinstal pada perangkat korban, malware tersebut akan melakukan beberapa hal sebagi berikut:
-
Mengambil data.
-
Merekam audio dan video.
-
Mengakses informasi komunikasi sensitif.
Atau bisa dilang cara kerja CapraRAT ini pada dasarnya beroperasi seperti alat spyware.
APT36 adalah pelaku kejahatan siber dikenal karena menggunakan aplikasi Android yang berbahaya atau mengandung unsur berbahaya untuk menyerang.
Kampanye terbaru ini ditemukan oleh peneliti keamanan yang memperingatkan orang-orang dan organisasi untuk sangat waspada terhadap aplikasi peniru YouTube penyebar RAT yang dihosting di situs pihak ketiga.
Baca juga: Varian Baru Malware Chaes |
Meniru identitas YouTube
APK berbahaya tersebut didistribusikan di luar Google Play, toko aplikasi resmi Android, sehingga korban kemungkinan besar direkayasa secara sosial untuk mengunduh dan menginstalnya.
APK tersebut diunggah ke VirusTotal pada bulan April, Juli, dan Agustus 2023, dengan dua di antaranya bernama ‘YouTube’ dan satu ‘Piya Sharma’ yang dikaitkan dengan saluran persona yang kemungkinan besar digunakan dalam taktik berbasis romansa.
Selama instalasi, aplikasi malware meminta banyak izin berisiko, beberapa di antaranya mungkin diberikan oleh korban tanpa curiga terhadap aplikasi streaming media seperti YouTube.
Antarmuka aplikasi berbahaya berupaya meniru aplikasi YouTube asli Google, namun lebih menyerupai browser web dibandingkan aplikasi asli karena menggunakan WebView dari dalam aplikasi trojan untuk memuat layanan. Selain itu, ia melewatkan beberapa fitur yang tersedia di platform sebenarnya.
Setelah CapraRAT aktif dan berjalan di perangkat, ia melakukan tindakan berikut:
-
Merekam dengan mikrofon, kamera depan & belakang
-
Mengumpulkan isi pesan SMS dan multimedia, log panggilan
-
Mengirim pesan SMS, memblokir SMS masuk
-
Memulai panggilan telepon
-
Mengambil tangkapan layar
-
Mengganti pengaturan sistem seperti GPS & Jaringan
-
Memodifikasi file pada sistem file ponsel
Baca juga: Judi Asia Tenggara Diancam Malware VPN |
Varian Baru CapraRAT
Varian CapraRAT yang terlihat dalam operasi baru-baru ini memiliki peningkatan fitur dibandingkan sampel yang dianalisis sebelumnya, yang menunjukkan pengembangan berkelanjutan.
Mengenai atribusi, alamat server C2 (perintah dan kontrol) yang berkomunikasi dengan CapraRAT dikodekan dalam file konfigurasi aplikasi dan telah dikaitkan dengan aktivitas Suku Transparan sebelumnya.
Beberapa alamat IP yang diambil oleh SentinelLabs terkait dengan kampanye RAT lainnya, meskipun hubungan pasti antara pelaku ancaman dan pelaku ancaman masih belum jelas.
Kesimpulannya, Transparan Tribe melanjutkan aktivitas spionase dunia maya di India dan Pakistan, menggunakan Android RAT khasnya,
Android RAT yang sekarang disamarkan sebagai YouTube, yang menunjukkan evolusi dan kemampuan beradaptasi yang mengkhawatirkan.
Meskipun lemahnya keamanan operasional kelompok ancaman membuat operasi dan alat mereka mudah diidentifikasi, peluncuran aplikasi baru yang terus menerus memberikan mereka keunggulan yang sulit dipahami, dan secara konsisten menjangkau calon korban baru.
Baca lainnya:
|
Sumber berita: