CapraRAT
La minaccia CapraRAT è un Android RAT (Remote Access Trojan) completo progettato per essere implementato come parte di attacchi di spionaggio informatico. I dettagli su questa particolare minaccia sono stati rivelati in un rapporto pubblicato dai ricercatori di Trend Micro. La loro analisi ha rivelato un grado significativo di crossover tra CapraRAT e una minaccia precedentemente identificata nota come Crimson RAT.
Il Crimson RAT è attribuito e osservato come parte delle operazioni minacciose di un gruppo APT (Advanced Persistent Threat) identificato come Earth Karkaddan. Lo stesso gruppo di hacker può essere incontrato anche come APT36, Operation C-Major, PROJECTM, Mythic Leopard e Transparent Tribe.
Dettagli tecnici
CapraRAT è un altro RAT Android personalizzato che ora fa parte del minaccioso arsenale del gruppo. La minaccia molto probabilmente si basa su tattiche di ingegneria sociale e collegamenti di phishing per ottenere l'accesso iniziale al dispositivo della vittima. Per allontanare gli utenti, il payload danneggiato viene mascherato e distribuito come un'applicazione Youtube.
In sostanza, CapraRAT sembra essere basato su una minaccia RAT open source denominata AndroRAT. In quanto tale, è dotato di numerose funzioni intrusive legate alla raccolta e alla successiva esfiltrazione dei dati. CapraRAT può raccogliere la geolocalizzazione della vittima, ottenere registri telefonici ed estrarre informazioni di contatto.
Storia degli attacchi
Il gruppo APT36 è stato attivo in operazioni contro entità militari e diplomatiche indianecostantemente. I primi segni concreti della sua presenza sono stati osservati già nel 2016, in un attacco di raccolta di informazioni contro il personale militare e governativo indiano. Nel 2018, il gruppo ha implementato una minaccia spyware Android contro attivisti per i diritti umani in Pakistan con l'intenzione di intercettare telefonate e messaggi, foto inappropriate e tracciare i loro movimenti. Nel 2020, gli hacker hanno modificato i loro messaggi esca per includere ora esche militari o legate al COVID-19 e li hanno usati per rilasciare una versione modificata di un altro Android RAT noto come AhMyth.