- Nhóm APT Transparent Tribe bị phát hiện khi sử dụng một ứng dụng giả mạo YouTube trên các thiết bị Android để phát tán mã độc CapraRAT, đây là một phần mềm truy cập từ xa (RAT). Trojan này là một công cụ xâm nhập cho phép đối tượng tấn công kiểm soát phần lớn dữ liệu trên thiết bị Android bị lây nhiễm.
Nhóm Transparent Tribe, còn được biết đến với biệt danh APT36, đã nổi tiếng với các chiến dịch tấn công dưới hình thức xâm nhập vào hệ thống chạy Windows, Linux và Android, nhằm mục đích thu thập thông tin từ người dùng Ấn Độ.
Trong bộ công cụ của họ, CapraRAT đóng một vai trò quan trọng và đã được phát tán dưới dạng các ứng dụng nhắn tin và cuộc gọi giả mạo, hoạt động như một loại trojan với tên gọi MeetsApp và MeetUp. Những ứng dụng này đã được phát tán tới người dùng bằng hình thức tấn công Social engineering.
Hiện tại, các tệp tin APK độc hại mới nhất đã được xác định là giả mạo của ứng dụng YouTube và một trong những ứng dụng đó có liên kết tới kênh "Piya Sharma" trên Youtube.
Ảnh minh họa |
Các ứng dụng độc hại này đều sử dụng tên giống với các ứng dụng thật, điều này cho thấy rõ đối tượng tấn công đang dùng chiêu trò để đánh lừa người dùng cài đặt chúng. Danh sách ứng dụng được phát hiện bao gồm:
• com.Base.media.service
• com.moves.media.tubes
• com.videos.watchs.share
Sau khi được cài đặt, ứng dụng sẽ gửi được cấp quyền có tính xâm phạm, cho phép mã độc thu thập dữ liệu trên thiết bị và chuyển chúng tới máy chủ do đối tượng tấn công điều khiển. Ngoài ra, CapraRAT cũng có khả năng thực hiện cuộc gọi và ngăn chặn tin nhắn SMS đến.
Theo đánh giá của các chuyên gia bảo mật, Transparent Tribe là một đối tượng tấn công sử dụng các phương thức tấn công giả mạo trong thời gian dài. Nhóm này thường sử dụng các công cụ được thiết kế với mức độ bảo mật thấp nên dễ dàng bị phát hiện.
Các chuyên gia cũng khuyến nghị các cá nhân và tổ chức có liên quan đến ngoại giao, quân đội, hoặc các sự kiện xã hội tại Ấn Độ và Pakistan cần thực hiện các biện pháp đánh giá phòng thủ để kịp thời ứng phó với nguy cơ tấn công mạng.
PV