SentinelLabsは7月1日(米国時間)、「CapraTube Remix|Transparent Tribe’s Android Spyware Targeting Gamers, Weapons Enthusiasts - SentinelOne」において、パキスタンの国家支援を受けているとみられる脅威グループ「Transparent Tribe(別名:APT36、Operation C-Major)」が悪意のある新しい4つのAndroidアプリを配布しているとして、注意を呼び掛けた。これらアプリはそれ自体が遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「CapraRAT」とされる。

  • CapraTube Remix|Transparent Tribe’s Android Spyware Targeting Gamers、Weapons Enthusiasts - SentinelOne

    CapraTube Remix|Transparent Tribe’s Android Spyware Targeting Gamers, Weapons Enthusiasts - SentinelOne

悪意のあるAndroidアプリの概要

SentinelLabsにより発見された悪意のあるAndroidアプリは次のとおり。

  • Crazy Game (com.maeps.crygms.tktols)
  • Sexy Videos (com.nobra.crygms.tktols)
  • TikToks (com.maeps.vdosa.tktols)
  • Weapons (com.maeps.vdosa.tktols)
  • 悪意のあるAndroidアプリのアイコン - 引用:SentinelOne

    悪意のあるAndroidアプリのアイコン 引用:SentinelOne

これらアプリを起動すると、WebViewを使用してYouTubeまたはモバイルゲームサイトの「CrazyGames[.]com」が表示される。このWebサイトの表示はおとりとして機能し、悪意のある処理はバックグラウンドで実行される。主な悪意のある機能としては、以下が挙げられる。

  • 位置情報の窃取
  • ショートメッセージサービス(SMS: Short Message Service)のメッセージの窃取
  • 連絡先や通話履歴の窃取
  • 電話の発信
  • スクリーンショットの窃取
  • 音声や動画の撮影および窃取

影響と対策

脅威グループ「Transparent Tribe」の主な標的はインド政府および軍関係者とされる。発見された悪意のあるアプリもこれらの標的に対し、ソーシャルエンジニアリング手法を用いて配布されたとみられている。

SentinelLabsは同様の攻撃を回避するため、Androidユーザーに対し、アプリが要求する権限を必ず確認することを推奨している。不要な権限を要求してきた場合は、悪意のあるアプリの可能性があるため積極的に拒否することが推奨される。また、SentinelLabsは本件調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。