CapraRAT

CapraRAT-truslen er en fuldt udstyret Android RAT (Remote Access Trojan) designet til at blive implementeret som en del af cyberspionageangreb. Detaljer om denne særlige trussel blev afsløret i en rapport offentliggjort af forskerne hos Trend Micro. Deres analyse har afsløret en betydelig grad af crossover mellem CapraRAT og en tidligere identificeret trussel kendt som Crimson RAT.

Crimson RAT tilskrives og observeres som en del af de truende operationer af en APT-gruppe (Advanced Persistent Threat) sporet som Earth Karkaddan. Den samme gruppe af hackere kan også stødes på som APT36, Operation C-Major, PROJECTM, Mythic Leopard og Transparent Tribe.

Tekniske detaljer

CapraRAT er en anden specialbygget Android RAT, der nu er en del af gruppens truende arsenal. Truslen er højst sandsynligt afhængig af social-engineering taktikker og phishing-links for at få første adgang til ofrets enhed. For at smide brugerne væk, er den korrupte nyttelast forklædt og distribueret som en Youtube-applikation.

I sin kerne ser CapraRAT ud til at være baseret på en open source RAT-trussel ved navn AndroRAT. Som sådan er den udstyret med adskillige påtrængende funktioner relateret til høst og efterfølgende eksfiltrering af data. CapraRAT kan høste ofrets geolokalisering, få telefonlogfiler og udtrække kontaktoplysninger.

Angrebshistorie

APT36-gruppen har været aktiv i operationer rettet mod indiske militære og diplomatiske enhederkonsekvent. De første konkrete tegn på dets tilstedeværelse blev observeret tilbage i 2016, i et informationsindsamlingsangreb mod indisk militær- og regeringspersonale. I 2018 implementerede gruppen en Android-spywaretrussel mod menneskerettighedsaktivister i Pakistan, som havde til hensigt at opsnappe telefonopkald og beskeder, uretage billeder og spore deres bevægelser. I 2020 ændrede hackerne deres lokkemad til nu at inkludere militær- eller COVID-19-relaterede lokker og brugte dem til at droppe en modificeret version af en anden Android RAT kendt som AhMyth.