APT36 해킹 그룹, 별칭 'Transparent Tribe'는 YouTube를 모방하는 최소 세 가지 Android 앱을 사용하여 자신들의 특징적인 원격 접근 트로이 목마(RAT), 'CapraRAT'으로 장치를 감염시키는 것으로 관찰되었습니다. 이 악성 코드가 피해자의 장치에 설치되면 데이터를 수집하거나 오디오와 비디오를 녹음하거나 민감한 통신 정보에 접근하여 스파이웨어 도구처럼 작동합니다.

APT36은 인도 방위 및 정부 기관, 카슈미르 지역 문제를 다루는 기관, 그리고 파키스탄의 인권 활동가를 공격하기 위해 악성 또는 가공된 Android 앱을 사용하는 것으로 알려진 파키스탄 연계 위협 행위자입니다. 이 최근 캠페인은 SentinelLabs에 의해 발견되었으며, 인도와 파키스탄의 군사 또는 외교와 관련된 사람들과 조직들에게 제3자 사이트에서 호스팅되는 YouTube Android 앱에 대해 매우 경계해야 한다고 경고하고 있습니다. 이 악성 APK들은 Google Play, Android의 공식 앱 스토어 외부에서 배포되므로 피해자들은 아마도 사회 공학적으로 이들을 다운로드하고 설치하도록 유도되었을 것입니다.

CapraRAT가 장치에서 작동하기 시작하면, 마이크로 녹음하거나, 전면 및 후면 카메라를 사용하거나, SMS와 멀티미디어 메시지 내용을 수집하거나, 전화를 걸거나, 스크린 캡처를 하거나, GPS 및 네트워크와 같은 시스템 설정을 무시하거나, 휴대폰의 파일 시스템에 있는 파일을 수정하는 등의 작업을 수행합니다. SentinelLabs는 최근 캠페인에서 발견된 CapraRAT 변형체들이 이전에 분석된 샘플들보다 향상된 기능을 가지고 있다고 보고하고 있습니다.

요약

- APT36 해킹 그룹이 YouTube를 모방하는 Android 앱을 사용하여 원격 접근 트로이 목마 'CapraRAT'으로 장치를 감염시키는 것이 관찰되었다.
- 이 악성 코드는 데이터를 수집하거나 오디오와 비디오를 녹음하거나 민감한 통신 정보에 접근하여 스파이웨어 도구처럼 작동한다.
- SentinelLabs는 최근 캠페인에서 발견된 CapraRAT 변형체들이 이전에 분석된 샘플들보다 향상된 기능을 가지고 있다고 보고하고 있다.

Reference

https://www.bleepingcomputer.com/news/security/apt36-state-hackers-infect-android-devices-using-youtube-app-clones/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*