CapraRAT

Grožnja CapraRAT je popolnoma opremljen Android RAT (trojanec za oddaljeni dostop), zasnovan za uporabo kot del napadov kibernetskega vohunjenja. Podrobnosti o tej grožnji so bile razkrite v poročilu, ki so ga objavili raziskovalci pri Trend Micro. Njihova analiza je razkrila znatno stopnjo križanja med CapraRAT in prej identificirano grožnjo, znano kot Crimson RAT .

Crimson RAT je pripisan in opazovan kot del grozečih operacij skupine APT (Advanced Persistent Threat), ki ji sledimo kot Earth Karkaddan . Isto skupino hekerjev lahko srečamo tudi kot APT36, Operation C-Major, PROJECTM, Mythic Leopard in Transparent Tribe.

Tehnične podrobnosti

CapraRAT je še en po meri izdelan Android RAT, ki je zdaj del grozečega arzenala skupine. Grožnja se najverjetneje opira na taktike socialnega inženiringa in povezave z lažnim predstavljanjem, da bi pridobili začetni dostop do naprave žrtve. Da bi odvrnili uporabnike, je poškodovana koristna obremenitev prikrita in distribuirana kot aplikacija Youtube.

Zdi se, da v svojem bistvu CapraRAT temelji na odprtokodni grožnji RAT z imenom AndroRAT . Kot tak je opremljen s številnimi vsiljivimi funkcijami, povezanimi z zbiranjem in kasnejšim ekstrakcijo podatkov. CapraRAT lahko pridobi geolokacijo žrtve, pridobi telefonske dnevnike in izvleče kontaktne podatke.

Zgodovina napadov

Skupina APT36 je bila aktivna v operacijah proti indijskim vojaškim in diplomatskim subjektomdosledno. Prvi konkretni znaki njegove prisotnosti so bili opaženi že leta 2016 v napadu z zbiranjem informacij na indijsko vojaško in vladno osebje. Leta 2018 je skupina uporabila grožnjo za vohunsko programsko opremo Android proti aktivistom za človekove pravice v Pakistanu, da bi prestregla telefonske klice in sporočila, prilastila fotografije in sledila njihovim gibanjem. Leta 2020 so hekerji spremenili svoja sporočila o vabi, tako da so zdaj vključevala vojaške vabe ali vabe, povezane s COVID-19, in jih uporabili za odlaganje spremenjene različice drugega Android RAT, znanega kot AhMyth .