No espaço do crime cibernético, um agente de ameaças chamado Transparent Tribe está espalhando rapidamente o spyware CapraRAT sob o disfarce de um popular aplicativo Android. Relatos da mídia afirmam que esses ataques fazem parte de uma campanha mais ampla de engenharia social que visa indivíduos de interesse.
Neste artigo, iremos nos aprofundar nos detalhes desses ataques e aprender como funciona o spyware CapraRAT. Vamos começar!
Descoberta inicial da campanha de spyware CapraRAT
Campanhas de ataque usando spyware CapraRAT foram descobertas pela primeira vez pelo SentinelOne em setembro de 2023. Esta série de ataques é conhecida como campanha CapraTube. Como parte de nossas descobertas iniciais, descobrimos que os invasores por trás do ataque estavam transformando aplicativos Android em armas e fazendo com que parecessem aplicativos populares como o YouTube.
Esses aplicativos armados foram usados como veículo de entrega de spyware chamado CapraRAT. Vale ressaltar aqui que este spyware é uma versão modificada do AndroRAT e tem a capacidade de obter informações confidenciais. Espera-se que o grupo ameaçador por trás destes ataques, Tribos Transparentes, seja de origem paquistanesa.
De acordo com relatos da mídia, grupos de crimes cibernéticos exploram o CapraRAT há aproximadamente dois anos. Além disso, os atores da ameaça também têm como alvo o governo e o pessoal militar indiano. O grupo é conhecido por seu histórico de uso de ataques de spear phishing e watering hole para distribuir spyware.
Aplicativos Android infectados com malware
Observamos também que o ataque de spyware CapraRAT funciona com base em técnicas semelhantes, mas com recursos avançados. Esclarecendo essas tecnologias e capacidades, o pesquisador de segurança cibernética Alex Delamotte disse:
“As atividades destacadas neste relatório são uma continuação desta prática de atualização de pretextos de engenharia social e uso de spyware com versões mais antigas do sistema operacional Android, ao mesmo tempo em que expandem a superfície de ataque para incluir as versões mais recentes do Android. maximizando a compatibilidade.
Alguns dos APKs de aplicativos maliciosos mais recentes identificados por empresas de pesquisa de segurança cibernética incluem:
- Jogos malucos (com.maeps.crygms.tktols)
- Vídeo sexy (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Armas (com.maeps.vdosa.tktols)
Recurso de ataque de spyware CapraRAT
No que diz respeito às suas capacidades de ataque, o spyware CapraRAT usa WebView para lançar URLs. O URL irá direcioná-lo para o YouTube ou CrazyGames.[.]com, uma plataforma de jogos móveis. Assim que o alvo atinge uma dessas plataformas, o spyware CapraRAT explora os privilégios adquiridos para acessar dados confidenciais, como:
- registro de chamadas.
- mensagem.
- lugar.
Além de acessar esses dados, também pode ser usado para gravar áudio e vídeo, fazer capturas de tela e fazer ligações.
O relatório afirma que o spyware é usado para fins de vigilância, pois privilégios como REQUEST_INSTALL_PACKAGES, READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS não são solicitados ou obtidos.
A utilização de tais técnicas mostra que os atacantes de malware malicioso se tornaram mais sofisticados e os seus ataques mais severos do que nunca.
conclusão
A campanha de spyware CapraRAT da Transparent Tribe demonstra a crescente sofisticação das táticas de espionagem cibernética. Esses invasores usam efetivamente a engenharia social para atingir indivíduos importantes, disfarçando seu malware como aplicativos Android populares.
Este incidente destaca a necessidade de reforçar as medidas de segurança cibernética, incluindo a verificação cuidadosa das aplicações e a monitorização contínua. Para se defender contra estas ameaças em evolução e proteger informações sensíveis, é essencial utilizar medidas avançadas de cibersegurança.
As fontes deste artigo incluem artigos do The Hacker News e da SC Magazine.
O post CapraRAT Spyware Masks como um aplicativo Android popular apareceu pela primeira vez no TuxCare.
*** Este é um blog distribuído da TuxCare Security Bloggers Network escrito por Wajahat Raja. Leia a postagem original: https://tuxcare.com/blog/caprarat-spyware-masks-as-popular-android-apps/
