Eksperci cyberbezpieczeństwa odkryli co najmniej kilka aplikacji naśladujących YouTube, które instalują na smartfonach niebezpieczne oprogramowanie. Jest ono w stanie uzyskać zdalny dostęp do urządzenia i zrobić z nim praktycznie wszystko. Jeśli więc zamierzałeś w niedalekiej przyszłości pobrać aplikację z nieoficjalnego źródła, to lepiej porzuć te plany. Nie warto ryzykować.
Hakerzy obrali sobie za cel aplikację YouTube
Popularne aplikacje nierzadko stają się łakomym kąskiem dla hakerów. Niedawno informowaliśmy Was chociażby o poważnej luce w programie WinRAR, dzięki której można stracić wszystkie wrażliwe dane. Oprócz tego dawaliśmy znać o nietypowym błędzie w mobilnej usłudze T-Mobile, gdzie klientom wyświetlały się informacje na temat innych osób. Teraz przyszedł czas na najpopularniejszą platformę do publikacji/oglądania materiałów wideo.
Grupa hakerska o nazwie APT36 zdecydowała się na stworzenie trzech aplikacji naśladujących YouTube. Ich celem są oczywiście smartfony użytkowników, więc umieszczone w sieci pliki APK posiadają wbudowane złośliwe oprogramowanie CapraRAT. Taki trojan jest w stanie siać niemałe spustoszenie na zainfekowanym sprzęcie. Może bowiem zbierać wszelkie dane, nagrywać audio/wideo oraz uzyskiwać dostęp do konwersacji. Mówimy tak naprawdę o narzędziu szpiegowskim z prawdziwego zdarzenia.
Jeśli zaś chodzi o samych hakerów, to są oni dosyć znani. Pakistańscy oszuści niejednokrotnie atakowali indyjskie podmioty obronne oraz rządowe. Głównie chodzi o miejsca odpowiedzialne za Kaszmir oraz te placówki, gdzie stacjonują działacze na rzecz praw człowieka. Tytułowa kampania także może mieć podobne zastosowanie, ale tak naprawdę ofiarami są w stanie zostać wszyscy.
Oczywiście złośliwe pliki znajdują się poza oficjalnym Sklepem Play i są reklamowane jako alternatywy dla prawdziwej usługi. Ofiary zostają społecznie nakłaniane do ich pobrania oraz zainstalowania. Badacze zarejestrowali pierwszą oznakę działania hakerów w kwietniu bieżącego roku.
Trzeba wyrazić zgodę tak naprawdę na wszystko
Osoba decydująca się na pobranie takiego programu otrzymuje prośbę o wyrażenie zgody na udzielenie wielu uprawnień, które w przypadku oficjalnej aplikacji nie budziłyby żadnych zastrzeżeń. Dlatego też sporo naiwnych konsumentów bez problemu przystawała na udostępnianie swoich danych. Potem ci internauci widzieli interfejs do złudzenia przypominający ten oryginalny. Wprawne oko od razu jednak zauważyłoby, że coś jest nie tak.
Sama aplikacja przypominała bowiem przeglądarkę internetową, wszystko to ze względu na użycie WebView z poziomu samego trojana. Brakowało także kilku podstawowych funkcji. Zazwyczaj było już jednak za późno na reakcję, bowiem uruchomiony CapraRAT nie tylko nagrywa audio/wideo, ale także zbiera SMS-y, połączenia, wykonuje zrzuty ekranu czy modyfikuje pliki w samym systemie. Mówimy tak naprawdę o spustoszeniu prywatności.
Co jednak najgorsze, hakerzy nieustanie ulepszają warianty złośliwego oprogramowania i grupa regularnie wypuszcza nowe odsłony aplikacji na terenie Indii oraz Pakistanu. Sprawę skomentował nawet rzecznik prasowy Google.
Stwierdził on, że w Sklepie Play nie odnaleziono żadnych aplikacji zawierających CapraRAT. To dobra wiadomość – dlatego też jeśli chcecie coś pobierać, to raczej nie warto ryzykować i zasysać plików z nieco podejrzanych stron.
Źródło: BleepingComputer, SentinelLabs / Zdjęcie otwierające: unsplash.com (@christianw)