Группа APT36 заражает Android-устройства вредоносными клонами YouTube

Группа APT36 заражает Android-устройства вредоносными клонами YouTube

Группа APT36 заражает Android-устройства вредоносными клонами YouTube

Киберпреступная группировка APT36, которую также называют «Transparent Tribe», теперь использует как минимум три Android-приложения, замаскированные под YouTube. Задача этого софта — заразить смартфоны жертв трояном CapraRAT.

Как только вредонос проникает на устройство, он начинает собирать данные, записывать аудио и видео. Другими словами, функциональность полностью попадает под определение шпионского софта.

APT36 принято связывать с Пакистаном, эта группировка часто использует фейковые Android-приложения в качестве приманки. На последнюю кампанию киберпреступников обратили внимание исследователи из SentinelLabs.

Вредоносные APK с копиями YouTube хранятся в сторонних магазинах приложений, обойти защитные механизмы Google Play Store злоумышленникам не удалось.

Чтобы жертва загрузила и установила программу, атакующие, скорее всего, прибегают к методам социальной инженерии. Сами APK уже успели побывать на VirusTotal в апреле, июле и августе 2023 года.

Два загруженных файла назывались «YouTube», ещё один — «Piya Sharma». В процессе инсталляции софт запрашивает много потенциально опасных разрешений, однако подозрения пользователя может нивелировать маскировка под YouTube.

 

Стоит отметить, что софт действительно изо всех сил старается показать жертве «реальный» YouTube, однако на деле всё происходит через WebView и представляет собой веб-версию хостинга видеозаписей. Кроме того, отсутствует ряд функций, доступных в легитимном YouTube.

 

На устройстве CapraRAT может выполнять следующие действия:

  • записывать аудио с микрофона, а видео — с фронтальной и основной камеры;
  • собирать СМС-сообщения, историю вызовов и информацию из переписок;
  • отправлять СМС-сообщения и блокировать входящие;
  • снимать скриншоты;
  • обходить системные настройки, особенно сетевые и GPS;
  • модифицировать файлы в операционной системы.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ozon отстранил курьеров за использование данных клиентов

Маркетплейс Ozon сообщил об отстранении от работы курьеров, которые неправомерно использовали личные данные клиенток. Ранее депутат Госдумы Ксения Горячева обратилась к генеральному директору «Озон холдинг» Дмитрию Киму с запросом о мерах, предпринимаемых для защиты персональных данных пользователей.

Как передаёт ТАСС, документ с запросом оказался в распоряжении агентства. Поводом для обращения стали жалобы клиенток маркетплейса на недопустимое поведение курьеров.

В одном случае сотрудник использовал контактный номер покупательницы для личной переписки, в ходе которой допускал грубые и нецензурные выражения. В другом случае клиентка стала жертвой сталкинга — курьер звонил ей с разных номеров и проявлял агрессию в различных формах.

«О двух случаях, указанных в обращении, нам известно — эти курьеры были немедленно отстранены и внесены в чёрный список. Они больше не смогут доставлять заказы для сервисов Ozon, поскольку подобное поведение недопустимо», — сообщили в пресс-службе компании.

В Ozon также отметили, что с 2024 года в компании внедряется система защиты контактных данных клиентов. Теперь курьеры совершают звонки через виртуальные номера и не видят реальные контакты покупателей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru