威胁情报信息分享|Transparent Tribe使用假YouTube Android应用程序传播CapraRAT恶意软件

据怀疑与巴基斯坦有关的威胁行为者Transparent Tribe (透明部落) 使用模仿YouTube的恶意Android应用程序分发CapraRAT移动远程访问木马 (RAT)，显示出其活动持续进化。

“CapraRAT是一种高度侵入性的工具，它使攻击者可以控制被感染的Android设备上的大量数据，” SentinelOne安全研究员Alex Delamotte在周一的分析中说。

Transparent Tribe，也被称为APT36，以情报收集为目的，针对印度实体，并依赖一个可以渗透Windows、Linux和Android系统的工具库。

其工具集的一个关键组件是CapraRAT，它已经被传播成类似木马的安全消息和呼叫应用，被命名为MeetsApp和MeetUp。这些被武器化的应用程序使用社交工程学诱饵进行分发。

SentinelOne发现的最新Android程序包 (APK) 文件被设计成伪装为YouTube，其中一个链接到属于“Piya Sharma”的YouTube频道。

该应用程序以其同名命名，表示对手正在使用基于浪漫的网络钓鱼技术，诱使目标安装应用程序。应用程序列表如下：

com.Base.media.servicecom.moves.media.tubescom.videos.watchs.share

一旦安装，应用程序会请求侵入式权限，使恶意软件能够收割各种敏感数据并将其转移到行为者控制的服务器。CapraRAT还能够发起电话通话以及拦截和阻止传入的短信消息。

Delamotte表示：“透明部落是一个具有可靠习惯的常年行为者。相对较低的操作安全标准使其工具的快速识别成为可能。在印度和巴基斯坦地区涉及外交、军事或活动家事务的个人和组织应评估针对这个行为者和威胁的防御。”