Истражувачите на SentinelLabs забележале три апликации за Android кои ја имитираат апликацијата YouTube на Google.
Анализата на апликациите откри дека тие го содржат тројанецот CapraRAT, кој им овозможува на напаѓачите далечински пристап до заразените уреди. Две апликации се именувани како YouTube, а едната е наречена Piya Sharma.
Откако ќе се инсталираат апликациите на уредите на жртвите, малициозниот софтвер, кој во суштина е шпионски софтвер, може да собира податоци, да снима аудио и видео и да пристапи до чувствителни податоци на уредот.
Апликациите не можат да се најдат во официјалната продавница за апликации на Google за Android, Google Play, па се претпоставува дека жртвите се измамени да ги преземат од сајтовите на напаѓачите и да ги инсталираат.
За време на инсталацијата, апликациите бараат голем број ризични дозволи.
Интерфејсот на апликациите е таков што наликуваат на YouTube апликацијата на Google, но многу повеќе личат на веб прелистувач отколку на апликација поради користењето на WebView. Покрај тоа, на апликациите им недостасуваат некои опции што ги има оригиналната апликација.
Злонамерниот софтвер инсталиран на уредот го користи микрофонот на уредот и предната и задната камера за снимање, собирање СМС и ММС, дневници за повици, но исто така може да испраќа СМС пораки и да блокира дојдовни СМС пораки. Исто така, може да остварува телефонски повици, да прави слики од екранот, да ги ресетира системските поставки, да менува датотеки во датотечниот систем на телефонот итн.
Истражувачите на SentinelLabs ги поврзаа овие апликации со претходно познатата хакерска група Transparent Tribe (APT36), за која се верува дека работи надвор од Пакистан. Групата е позната по нападите врз владините и одбранбените ентитети во Индија, како и нападите врз активистите за човекови права во самиот Пакистан.