L'app di TikToks contiene il virus Capra che svuota il conto in banca

Gli hacker continuano a sfruttare il successo delle app Android più popolari del mondo per diffondere pericolosi virus informatici. In particolare i “RAT“, cioè “Remote Access Trojan“, ovvero malware che servono a spiare il telefono infetto e ad estrapolarne dati privati utilizzabili per fare soldi facili a danno della vittima.

L’app sfruttata, in questo caso, è quella di TikTok: il collettivo di hacker pachistani Transparent Tribe (noto anche come APT 36 e Operation C-Major), sta facendo circolare il virus CapraRAT all’interno di app fake come quella chiamata “TikToks“.

Perché CapraRAT è pericoloso

Come tutti i virus di tipo RAT, anche CapraRAT serve a spiare l’utente in attesa che faccia qualcosa di “interessante” per i cyber criminali. La cosa più interessante che può fare, ovviamente, è usare l’app della banca online.

CapraRAT ha la capacità di:

• Conoscere la posizione rilevata dal GPS
• Gestire lo stato della rete
• Leggere e mandare SMS
• Leggere la lista dei contatti
• Registrare audio e video dello schermo e fare screenshot
• Leggere e scrivere la memoria dello smartphone
• Usare la fotocamera
• Leggere la cronologia chiamate e fare telefonate

Con queste capacità CapraRAT è perfettamente in grado di raccogliere tutti i dati necessari per accedere al conto in banca della vittima.

Questo perché può registrare lo schermo mentre l’utente, ignaro del pericolo, fa l’accesso al suo conto tramite l’app sullo smartphone. CapraRAT invia poi la registrazione al server controllato dagli hacker, che useranno i dati ricevuti per accedere al conto.

Quando la banca chiederà il codice di conferma, inviato via SMS, gli hacker potranno leggere anche quello e accedere così al conto, per poi fare bonifici a loro piacimento, senza che l’utente possa accorgersi di nulla.

Attenti a queste app infette

Per diffondere il virus CapraRAT il collettivo Transparent Tribe usa delle app fake, che imitano app famose. In una precedente campagna d’attacco, a settembre 2023, avevano usato una finta app di YouTube, ma ora stanno sfruttando la popolarità di TikTok.

Attenti, quindi, all’app “TikToks” (con la S finale) o altre app simili, che imitano l’app vera di ByteDance (a partire dall’icona, che è identica).

Ma non solo, perché la società di cybersicurezza Sentinel One ha trovato il virus in diverse app:

• Crazy Game (com.maeps.crygms.tktols)
• Video sexy (com.nobra.crygms.tktols)
• TikToks (com.maeps.vdosa.tktols)
• Arms (com.maeps.vdosa.tktols)

Queste app non sono state distribuite tramite il Play Store di Google, ma tramite link diretti e store alternativi di app. In molti casi vengono distribuite anche tramite messaggi WhatsApp o SMS, che invitano a provare l’app.

Il nostro consiglio è sempre quello di non scaricare mai app da link diretti, a meno che il link non porti certamente al sito ufficiale di uno sviluppatore noto e affidabile, e di non fidarsi mai di messaggi che invitano a scaricare app.

Su Libero Tecnologia vi abbiamo raccontato spesso che persino il Play Store di Google non è sicuro al 100%, quindi potete immaginare quanto possano esserlo store alternativi o siti sconosciuti.