APT36是一个以巴基斯坦和印度军事和外交人员为目标的巴基斯坦组织，该组织正在利用YouTube通过CapraRAT感染Android设备。这次袭击背后的组织是臭名昭著的巴基斯坦威胁组织“透明部落”。CapraRAT是一种高度侵入性的RAT，攻击者可以利用它控制受感染设备上的大部分数据。攻击者使用第三方网站上托管的虚假YouTube Android应用程序来分发CapraRAT。恶意应用程序在安装过程中请求有风险的权限，并且可以提取数据、录制音频/视频、充当有效的间谍软件以及访问敏感通信数据。研究人员建议组织和个人评估他们对APT36的防御能力。袭击者疑似是一个名为“透明部落”的巴基斯坦组织，该组织以针对巴基斯坦和印度的外交/军事人员而闻名。攻击者使用模仿Android版YouTube的恶意Android应用程序来分发CapraRAT。

SentinelLabs发布了关于高级持续威胁(APT)攻击者针对巴基斯坦和印度军事和外交部门以及印度教育部门的个人和组织所使用的策略的研究结果。

报告作者Alex Delamotte指出，在最近的疯狂攻击中，攻击者使用第三方网站上托管的虚假YouTube Android应用程序作为主要诱饵。

SentinelLabs发现了三个分发CapraRAT移动远程访问木马(RAT)的APK包（三个Android应用程序）。该RAT与被追踪为透明部落(Transparent Tribe)或APT36的巴基斯坦演员有关。

该攻击者因使用恶意/受损的Android应用程序而闻名，其目标是印度国防/政府实体，特别是与克什米尔事务有关的实体。它还针对巴基斯坦军事人员/实体和人权活动人士。

攻击者的目标是收集情报信息并使用一系列工具渗透Windows、Linux和Android系统。

这些应用程序显示为Android版YouTube，但实际上是出于恶意目的而推出的假冒版本。这位演员设计这些应用程序是为了模仿真正的YouTube应用程序，但敏锐的观察突显了它们固有的缺陷。例如，这些应用程序看起来更像是网络浏览器而不是应用程序，因为它们使用WebView来加载服务，并且缺乏原始平台的许多标志性功能。

CapraRAT是一种高度侵入性的工具，使攻击者能够控制其感染的Android设备上的大部分数据。在安装过程中，应用程序会要求有风险的权限。该恶意软件可以提取数据、记录音频/视频、充当有效的间谍软件以及访问敏感通信数据。它还可以拨打电话、拦截/阻止短信以及覆盖 GPS 和网络设置。提取的信息被上传到攻击者控制的服务器。

该恶意软件被推广为名为MeetsApp和MeetUp的木马安全消息/通话应用程序，并通过社会工程诱饵进行分发。在此活动中，恶意YouTube应用程序是通过第三方平台分发的，而不是通过Google Play或Android Play商店分发的。

研究人员在报告中发现，这些APK于2023年4月、7月和8月上传到VirusTotal。其中两个应用程序名为YouTube，而第三个应用程序则链接到名为Piya Sharma的YouTube频道。这表明攻击者也使用该名称作为诱饵。

德尔莫特称透明部落为“常年演员”，他写道，该演员表现出可靠的习惯，因此组织/个人应该“评估针对该演员和威胁的防御措施”。

还需要注意的是，APT36是一个复杂的威胁参与者，组织和用户应做好检测和响应该组织攻击的准备。以下是一些建议：

1. Android 用户应仅安装来自Google Play商店或其他受信任来源的应用程序。
2. 用户应谨慎点击来自未知发件人的电子邮件或社交媒体帖子中的链接。
3. 用户应该让他们的设备和应用程序保持最新的安全补丁。
4. 组织应实施安全最佳实践，例如多因素身份验证和员工安全意识培训。