Transparent Tribe - предполагаемая пакистанская группировка, известная своими атаками на военных и дипломатических работников в Индии и Пакистане, а в последнее время и на индийский образовательный сектор. С 2018 года в отчетах появились подробные сведения об использовании группой так называемого CapraRAT - фреймворка для Android, который скрывает функции RAT внутри другого приложения. Этот инструментарий использовался для слежки за целями spear-phishing, посвященными в дела спорного региона Кашмир, а также за правозащитниками, занимающимися вопросами, связанными с Пакистаном.
- Компания SentinelLabs обнаружила три пакета приложений (APK) для Android, связанных с мобильным троянцем удаленного доступа (RAT) CapraRAT компании Transparent Tribe.
- Эти приложения имитируют внешний вид YouTube, хотя по своим возможностям они уступают легитимному "родному" приложению YouTube для Android.
- CapraRAT - это высокоинвазивный инструмент, позволяющий злоумышленнику контролировать большую часть данных на зараженных им Android-устройствах.
Transparent Tribe распространяет приложения для Android вне Google Play Store, используя для этого самостоятельные веб-сайты и социальную инженерию, чтобы склонить пользователя к установке приложения с оружием. Ранее, в 2023 году, эта группа распространяла Android-приложения CapraRAT, замаскированные под службу знакомств и ведущие шпионскую деятельность.
Один из недавно выявленных APK обращается к каналу YouTube, принадлежащему Piya Sharma, на котором размещено несколько коротких роликов с изображением женщины в различных местах. Этот APK также заимствует имя и фамилию этого человека. Эта тема наводит на мысль о том, что он продолжает использовать методы социальной инженерии, основанные на романтике, чтобы убедить цели установить приложения, и что Piya Sharma является связанным с ним лицом.
CapraRAT - это комплексная RAT, предоставляющая злоумышленникам возможность собирать данные по требованию и осуществлять их эксфильтрацию. Примечательные функции включают:
- Запись с помощью микрофона, фронтальной и задней камер
- Сбор содержимого SMS и мультимедийных сообщений, журналов вызовов
- Отправка SMS-сообщений, блокировка входящих SMS
- Инициирование телефонных звонков
- Создание снимков экрана
- Переопределение системных настроек, таких как GPS и Сеть
- Изменение файлов в файловой системе телефона
Indicators of Compromise
IPv4
- 209.127.19.241
- 95.111.247.73
Domains
- newsbizshow.net
- ptzbubble.shop
- shareboxs.net
SHA1
- 14110facecceb016c694f04814b5e504dc6cde61
- 83412f9d757937f2719ebd7e5f509956ab43c3ce
- 8beab9e454b5283e892aeca6bca9afb608fa8718