가짜/유사 YouTube 앱을 사용하면 안드로이드 기기에 해커가 침입?

이 글을 제대로 읽지 않으면 당신의 스마트폰이나 태블릿을 해커가 자유롭게 조작하고 정보를 훔칠 수 있습니다. '투명한 부족'으로도 알려진 APT36 해킹 그룹이 YouTube를 모방한 악성 안드로이드 앱을 사용하여 'CapraRAT'이라는 모바일 원격 액세스 트로이목마(RAT)로 대상 기기를 감염시키는 것으로 밝혀졌습니다.

 

APT36(또는 Transparent Tribe)은 주로 악성 Android 앱을 사용하여 인도 국방 및 정부 기관, 카슈미르 지역 관련 조직, 관련 문제를 다루는 인권 운동가를 공격하는 것으로 알려진 파키스탄 관련 해킹 그룹으로 의심됩니다. 사이버보안업체 센티넬랩스는 유튜브의 모습을 흉내낸 투명트라이브(Transparent Tribe)의 캐프라RAT(CapraRAT)과 연결된 안드로이드 애플리케이션 패키지(APK) 3개를 식별할 수 있었다.

 

SentinelLabs의 보안 연구원인 Alex Delamotte는 월요일 분석에서 “CapraRAT는 공격자가 감염시키는 Android 기기의 데이터 대부분을 제어할 수 있게 해주는 매우 침입적인 도구입니다.”라고 밝혔습니다. 

연구원에 따르면 악성 APK는 Android의 Google Play 스토어를 통해 배포되지 않습니다. 이는 피해자가 제3자 소스에서 앱을 다운로드하고 설치하도록 사회적으로 조작되었을 가능성이 높다는 것을 의미합니다. 3개의 APK를 분석한 결과 CapraRAT 트로이 목마가 포함되어 있으며 2023년 4월, 7월, 8월에 VirusTotal에 업로드된 것으로 나타났습니다. CapraRAT APK 중 2개는 'YouTube'로 명명되었고 하나는 채널과 연결된 'Piya Sharma'로 명명되었습니다. 대상이 애플리케이션을 설치하도록 설득하기 위해 로맨스 기반 사회 공학 기술에 잠재적으로 사용될 수 있습니다.

 

앱 목록은 다음과 같습니다.

• Base.media.service
• moves.media.tubes
• videos.watchs.share

설치하는 동안 앱은 여러 가지 위험한 권한을 요청하며, 그 중 일부는 처음에는 YouTube와 같은 미디어 스트리밍 앱의 피해자에게 무해한 것처럼 보일 수 있으며 의심 없이 처리할 수 있습니다. 악성 앱의 인터페이스는 Google의 실제 YouTube 앱을 모방하려고 시도하지만 서비스를 로드하기 위해 트로이 목마 앱 내에서 WebView를 사용하기 때문에 앱이라기보다는 웹 브라우저처럼 보입니다. 또한 합법적인 기본 Android YouTube 앱에서 사용할 수 있는 특정 기능이 부족했습니다.

 

CapraRAT이 피해자의 기기에 설치되면 마이크, 전방 및 후방 카메라를 통한 녹음, SMS 및 멀티미디어 메시지 내용 및 통화 기록 수집, SMS 메시지 전송, SMS 수신 차단, 전화 통화 시작, 화면 캡처 등 다양한 작업을 수행할 수 있습니다. 캡처, GPS 및 네트워크와 같은 시스템 설정 무시, 휴대폰 파일 시스템의 파일 수정.

 

SentinelLabs에 따르면 현재 캠페인에서 발견된 최근 CapraRAT 변종은 Transparent Tribe가 악성 코드를 지속적으로 개발하고 있음을 나타냅니다. 어트리뷰션과 관련해서는 CapraRAT이 통신하는 명령 및 제어(C2) 서버의 IP 주소가 앱 구성 파일에 하드코딩되어 있으며 과거 해킹 그룹의 활동과 연결되어 있습니다.

 

그러나 일부 IP 주소는 다른 RAT 캠페인과 연결되어 있었지만 이러한 위협 행위자와 Transparent Tribe 간의 정확한 관계는 아직 불분명합니다.

 

안드로이드 핸드폰에서 사용자 지정 제스처 액션 등록하는 방법

 

 

안드로이드 및 윈도우에서 애플 지도를 사용하는 방법

 

*참조한 원본 글: https://www.techworm.net/2023/09/hacker-fake-youtube-apps-android.html