CapraRAT

Zagrożenie CapraRAT to w pełni funkcjonalny Android RAT (trojan dostępu zdalnego) zaprojektowany do wdrażania w ramach ataków cyberszpiegowskich. Szczegóły dotyczące tego konkretnego zagrożenia zostały ujawnione w raporcie opublikowanym przez badaczy z Trend Micro. Ich analiza wykazała znaczny stopień krzyżowania się CapraRAT z wcześniej zidentyfikowanym zagrożeniem znanym jako Crimson RAT.

Crimson RAT jest przypisywany i obserwowany jako część groźnych operacji grupy APT (Advanced Persistent Threat) śledzonej jako Earth Karkaddan. Tę samą grupę hakerów można spotkać również jako APT36, Operation C-Major, PROJECTM, Mythic Leopard i Transparent Tribe.

Szczegóły techniczne

CapraRAT to kolejny niestandardowy RAT dla Androida, który jest teraz częścią groźnego arsenału grupy. Zagrożenie najprawdopodobniej opiera się na taktykach socjotechnicznych i linkach phishingowych w celu uzyskania wstępnego dostępu do urządzenia ofiary. Aby zniechęcić użytkowników, uszkodzony ładunek jest zamaskowany i rozpowszechniany jako aplikacja YouTube.

Zasadniczo CapraRAT wydaje się być oparty na otwartym zagrożeniu RAT o nazwie AndroRAT. W związku z tym jest wyposażony w wiele inwazyjnych funkcji związanych z gromadzeniem, a następnie eksfiltracją danych. CapraRAT może zbierać dane geolokalizacyjne ofiary, uzyskiwać rejestry telefonów i uzyskiwać informacje kontaktowe.

Historia ataków

Grupa APT36 była aktywna w operacjach wymierzonych w indyjskie jednostki wojskowe i dyplomatyczne”.konsekwentnie. Pierwsze konkretne oznaki jego obecności zaobserwowano już w 2016 r., podczas zbierania informacji na indyjski personel wojskowy i rządowy. W 2018 r. grupa wdrożyła zagrożenie oprogramowaniem szpiegującym na Androida przeciwko działaczom na rzecz praw człowieka w Pakistanie, zamierzając przechwytywać rozmowy telefoniczne i wiadomości, przywłaszczać zdjęcia i śledzić ich ruchy. W 2020 r. hakerzy zmodyfikowali swoje wiadomości z przynętą, tak aby zawierały teraz przynęty wojskowe lub związane z COVID-19 i wykorzystali je do zrzucenia zmodyfikowanej wersji innego Androida RAT znanego jako AhMyth.