Yeni sahte uygulama alarmı: YouTube uygulamasını kuracağım derken verilerinizden olmayın
Uzmanlar, aslında uzaktan erişim truva atı (RAT) olan ve verilerinizi çalmayı amaçlayan en az üç sahte YouTube uygulaması bulduklarını açıkladılar. Asıl hedef siz olmasanız da, dikkatli davranmanızda yarar var.
Özellikle Pakistan ve Hindistan'da yaşayanlar başta olmak üzere, mobil YouTube kullanıcılarının ünlü video uygulamasını indirirken çok dikkatli olmaları gerekiyor. Zira uzmanlar, aslında uzaktan erişim truva atı (RAT) olan ve verilerin peşinden koşan en az üç sahte YouTube uygulamasını ortaya çıkardı.
SentinelLabs'tan siber güvenlik araştırmacıları kısa süre önce Transparent Tribe (APT36) olarak bilinen bir tehdit aktörünün, YouTube gibi görünen ancak aslında CapraRAT olarak tanınan kötü amaçlı yazılım olan uygulamaları dağıtmak için muhtemelen sosyal kanalları ve sahte açılış sayfalarını kullandığını gözlemledi. Google medyaya yaptığı açıklamada, uygulamaların resmi Google Play Store'da bulunmadığını doğruladı.
Bu uzaktan erişim truva atı, uç noktadan her türlü hassas veriyi (SMS mesajları, arama kayıtları, GPS verileri gibi) çalabilir, aynı zamanda ses ve video kaydederek operatörlerine gönderebilir. Ayrıca ekran görüntüleri alabilir, sistem ayarlarını geçersiz kılabilir ve cihazın dosya sistemindeki dosyaları değiştirebilir. Tüm bunlar, diğer şeylerin yanı sıra başarılı kimlik hırsızlığı kampanyaları, kimlik avı saldırıları ve sosyal mühendislik saldırıları yürütmek için yeterli, yani doğrudan veri hırsızlığından bahsetmeye bile gerek yok.
Uygulamalardan ikisinin adı basitçe YouTube iken, üçüncüsünün adı Piya Sharma. Bu Hintli bir sunucu ve influencer'ın adı ve büyük olasılıkla romantizm temelli dolandırıcılıkta kullanılıyor. Tüm uygulamalar kurulum sırasında kapsamlı izinler talep ediyor ki bu da çoğu insan için yeterli bir uyarı işareti olmalı. Bu yeterli değilse, uygulamalar yerel bir uygulamadan çok bir web tarayıcısına benziyor ve yasal YouTube uygulamasında bulunan bazı özellikleri eksik.
SentinelLabs, APT36'nın büyük olasılıkla Pakistan hükümetiyle bağlantılı olduğunu ve Hindistan savunma ve hükümet kurumlarını, insan hakları aktivistlerini, Keşmir bölgesinde görev yapan diplomatları ve benzerlerini hedef aldığını söylüyor.
Grup en az 2018'den beri aktif ve bu yılın başlarında flört hizmetleri kılığında CapraRAT uygulamaları dağıttığı gözlemlendi. Bu tuzağa düşmediğinizden emin olmak için, uygulamaları her zaman yalnızca resmi kaynaklardan indirdiğinizden emin olun ve uygulamaların kurulum sırasında talep ettiği izinlere karşı dikkatli olun.