SentinelLabsは9月18日(米国時間)、「CapraTube|Transparent Tribe’s CapraRAT Mimics YouTube to Hijack Android Phones - SentinelOne」において、サイバー攻撃グループ「Transparent Tribe」(別名APT36)がYouTubeを模倣したAndroidアプリを用いてマルウェアを配布しているとして、注意を喚起した。特定したAndroidアプリは3種類存在し、インストールすると「CapraRAT」と呼ばれるトロイの木馬に感染するという。

  • CapraTube|Transparent Tribe’s CapraRAT Mimics YouTube to Hijack Android Phones - SentinelOne

    CapraTube|Transparent Tribe’s CapraRAT Mimics YouTube to Hijack Android Phones - SentinelOne

Transparent Tribeはパキスタンに関係するとみられるグループで、主にインドやパキスタンの軍人や外交関係者を標的にしているとされる。Transparent Tribeは非公式な手段、つまりWebサイトやソーシャルエンジニアリングなどの方法で悪意のあるAndroidアプリを配布する。

今回発見されたAndroidアプリのパッケージは次の3つ。

  • 8beab9e454b5283e892aeca6bca9afb608fa8718 - yt.apk
  • 83412f9d757937f2719ebd7e5f509956ab43c3ce - YouTube_052647.apk
  • 14110facecceb016c694f04814b5e504dc6cde61 - Piya Sharma.apk

いずれもYouTubeアプリを模倣しているが、公式アプリより機能は劣るという。アプリを起動するとWebViewオブジェクトを用いてYouTubeのWebサイトを読み込むため、モバイルブラウザからYouTubeサイトを閲覧するのと似た表示となる。

これらアプリをインストールするとマルウェア「CapraRAT」に感染する。CapraRATの主な機能は次のとおり。

  • マイク、フロントカメラ、リアカメラによる録画
  • SMSおよびマルチメディアメッセージの内容、通話記録の窃取
  • SMSメッセージの送信
  • SMSメッセージの受信のブロック
  • 電話をかける
  • スクリーンキャプチャの窃取
  • GPSおよびネットワークのシステム設定を変更する
  • デバイス上のファイルを変更する

SentinelLabsはインド、パキスタン地域の標的とされる可能性のある個人および組織に対し、次のような防衛策を推奨している。

  • Google Playの公式ストア以外からアプリを入手しない
  • ソーシャルネットワーキングサービス(SNS: Social networking service)などのメディアから宣伝されるアプリには特に注意する
  • よく知らないアプリから要求される権限を評価する
  • 公式版アプリがある場合、サードパーティのアプリをインストールしない

SentinelLabsは今回発見されたアプリとマルウェアのセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開している。該当地域で活動する企業においてはデバイスおよび従業員を保護するために、これら情報の活用が望まれる。