巴基斯坦 CapraRAT 间谍软件伪装成热门应用程序威胁印度 Android 用户

关键词

“透明部落”APT组织持续释放带有恶意软件的 Android 应用程序，作为针对相关个人的社会工程活动的一部分。

该活动被称为 CapraTube，由网络安全公司于 2023 年 9 月首次提出，黑客团队使用武器化的 Android 应用程序冒充 YouTube 等合法应用程序来投放名为 CapraRAT 的间谍软件，这是 AndroRAT 的修改版本，具有捕获各种敏感数据的能力。

透明部落 (Transparent Tribe) 疑似来自巴基斯坦，两年多来一直利用CapraRAT攻击印度政府和军事人员。该组织曾利用鱼叉式网络钓鱼和水坑攻击来传播各种 Windows 和 Android 间谍软件。

SentinelOne 识别出的新恶意 APK 文件列表如下：

• 疯狂游戏（com.maeps.crygms.tktols）

• 性感视频（com.nobra.crygms.tktols）

• TikTok（com.maeps.vdosa.tktols）

• 武器（com.maeps.vdosa.tktols）

CapraRAT 使用 WebView 启动 YouTube 或名为 CrazyGames[.]com 的移动游戏网站的 URL，同时在后台滥用其权限访问位置、短信、联系人和通话记录；拨打电话；截屏；或录制音频和视频。

假冒 TikTok 页面和以武器为主题的 CapraRAT YouTube WebView

该恶意软件的一个显著变化是不再请求READ_INSTALL_SESSIONS、GET_ACCOUNTS、AUTHENTICATE_ACCOUNTS 和 REQUEST_INSTALL_PACKAGES 等权限，这表明攻击者旨在将其用作监视工具而不是后门。