Фахівці дослідницької лабораторії SentinelLabs виявили три підроблені додатки YouTube, які перетворюють смартфони на пристрої для підслуховування. Усі програми є троянами віддаленого доступу (RAT) під назвою CapraRAT.
Два додатки називаються просто YouTube, а третій – Piya Sharma. Поширюються вони через “ліві” сайти в Мережі. У Google Play їх не знайшли.
Зовні вони справді дуже схожі на YouTube. Щоправда, на його веб-версію, а не мобільну, що має бути тривожним сигналом для людей, оскільки він все-таки позиціонується як застосунок для смартфона. Ще один насторожуючий момент: вони позбавлені деяких ключових функцій відеохостингу. Плюс до всього цього просять розширений доступ до налаштувань.
Після встановлення трояни надають зловмисникам віддалений доступ до пристрою і дають змогу викрадати конфіденційні дані, зокрема SMS-повідомлення, журнали викликів і дані GPS.
Крім того, вони можуть змінювати системні налаштування і файли, а також робити знімки екрана. Але головною їхньою особливістю вважається можливість записувати аудіо та відео.
Ці підроблені додатки використовуються переважно для стеження за дипломатами та працівниками урядових установ у Пакистані та Індії. Зловмисники спочатку з’ясовують їхні секрети, ймовірно, на любовному ґрунті, а потім шантажують або використовують як стримувальний фактор.
У SentinelLabs вважають, що додатки створила група хакерів APT36, пов’язана з урядом Пакистану. А сам вірус існує щонайменше з 2018 року, але донедавна поширювався під виглядом застосунків для знайомств.