Les acteurs malveillants sont toujours à la recherche de nouveaux moyens de tromper les utilisateurs peu méfiants et d’obtenir un accès non autorisé à leurs appareils. Aujourd’hui, selon un nouveau rapport de SentinelLabs, le groupe de hackers pakistanais APT36 s’est tourné vers de fausses applications YouTube chargées d’un cheval de Troie d’accès à distance (RAT) connu sous le nom de « CapraRAT », qui collecte des données, enregistre de l’audio et capture des informations sensibles.
Selon le rapport, les attaquants orchestrent des attaques contre la défense indienne et les entités gouvernementales. Ainsi que des individus impliqués dans la région du Cachemire, et même des militants des droits humains au Pakistan. Cependant, ce qui distingue cette campagne, c’est le fait qu’au lieu d’utiliser les canaux traditionnels de propagation de logiciels malveillants, tels que le Play Store, les pirates informatiques diffusent ces applications via des magasins d’applications tiers. Cela suggère qu’ils attirent très probablement les utilisateurs grâce à des techniques intelligentes d’ingénierie sociale.
De plus, l’un porte le nom d’un personnage fictif nommé Piya Sharma. Ce qui suggère que les acteurs de la menace emploient activement des tactiques basées sur la romance.
Comment fonctionne le malware YouTube ?
Au cours du processus d’installation, ces applications malveillantes demandent une série d’autorisations, apparemment justifiées pour une application YouTube. Cependant, derrière tout cela, l’application déploie le malware CapraRAT et lance diverses procédures invasives.
Cela inclut l’enregistrement audio et vidéo via le microphone et les caméras de l’appareil. En plus de collecter le contenu des SMS et des messages multimédias, les journaux d’appels, l’envoi de messages SMS, le blocage des SMS entrants, le lancement d’appels téléphoniques, la capture de captures d’écran, la modification des paramètres du système tels que les configurations GPS et réseau et la modification des fichiers dans le système de fichiers du téléphone. Une fois collectées, l’application transmet ensuite les données au serveur de commande et de contrôle du groupe.
Cependant, il est important de noter que même si les tactiques du groupe sont reconnaissables, la création continue de nouvelles applications leur donne un avantage. Il est donc d’autant plus important de rester vigilant et d’adopter des pratiques de sécurité robustes. Ces pratiques impliquent de s’abstenir d’installer des applications provenant de sources extérieures au Play Store, de faire preuve de prudence avec les applications de médias sociaux et d’évaluer minutieusement les autorisations demandées par toute application.
