Специалисты исследовательской лаборатории SentinelLabs обнаружили три поддельных приложения YouTube, которые превращают смартфоны в подслушивающие устройства. Все программы являются троянами удалённого доступа (RAT) под названием CapraRAT.
Два приложения называются просто YouTube, а третье — Piya Sharma. Распространяются они через «левые» сайты в Сети. В Google Play их не нашли.
Внешне они действительно очень похожи на YouTube. Правда, на его веб-версию, а не мобильную, что должно быть тревожным сигналом для людей, так как он всё-таки позиционируется как приложение для смартфона. Ещё один настораживающий момент: они лишены некоторых ключевых функций видеохостинга. Плюс ко всему этому просят расширенный доступ к настройкам.
После установки трояны предоставляют злоумышленникам удалённый доступ к устройству и позволяют похищать конфиденциальные данные, включая SMS-сообщения, журналы вызовов и данные GPS.
Кроме того, они могут изменять системные настройки и файлы, а также делать снимки экрана. Но главной их особенностью считается возможность записывать аудио и видео.
Эти поддельные приложения используются в основном для слежки за дипломатами и работниками правительственных учреждений в Пакистане и Индии. Злоумышленники сначала выясняют их секреты, а затем шантажируют или используют в качестве сдерживающего фактора.
В SentinelLabs считают, что приложения создала группа хакеров APT36, связанная с правительством Пакистана. А сам вирус существует как минимум с 2018 года, но до недавнего времени распространялся под видом приложений для знакомств.