CapraRAT

CapraRAT-hotet är en fullfjädrad Android RAT (Remote Access Trojan) designad för att distribueras som en del av cyberspionageattacker. Detaljer om just detta hot avslöjades i en rapport publicerad av forskarna vid Trend Micro. Deras analys har avslöjat en betydande grad av korsning mellan CapraRAT och ett tidigare identifierat hot känt som Crimson RAT.

Crimson RAT tillskrivs och observeras som en del av de hotfulla operationerna av en APT-grupp (Advanced Persistent Threat) som spåras som Earth Karkaddan. Samma grupp av hackare kan också stötas på som APT36, Operation C-Major, PROJECTM, Mythic Leopard och Transparent Tribe.

Tekniska detaljer

CapraRAT är en annan specialbyggd Android RAT som nu är en del av gruppens hotfulla arsenal. Hotet förlitar sig troligen på social ingenjörstaktik och nätfiske-länkar för att få första åtkomst till offrets enhet. För att kasta bort användarna förkläs och distribueras den skadade nyttolasten som en Youtube-applikation.

I sin kärna verkar CapraRAT vara baserad på ett RAT-hot med öppen källkod som heter AndroRAT. Som sådan är den utrustad med många påträngande funktioner relaterade till insamling och efterföljande exfiltrering av data. CapraRAT kan samla offrets geolokalisering, få telefonloggar och extrahera kontaktinformation.

Attackhistorik

APT36-gruppen har varit aktiv i operationer riktade mot indiska militära och diplomatiska enheterkonsekvent. De första konkreta tecknen på dess närvaro observerades redan 2016, i en informationsinsamlingsattack mot indisk militär och regeringspersonal. Under 2018 distribuerade gruppen ett Android-spywarehot mot människorättsaktivister i Pakistan med avsikt att avlyssna telefonsamtal och meddelanden, förskingra foton och spåra deras rörelser. År 2020 modifierade hackarna sina betesmeddelanden till att nu inkludera militära eller covid-19-relaterade beten och använde dem för att släppa en modifierad version av en annan Android RAT känd som AhMyth.