Компания SentinelLabs обнаружила четыре новых пакета CapraRAT для Android (APK), связанных с предполагаемой пакистанской группировкой Transparent Tribe (она же APT36, Operation C-Major). Эти APK продолжают практику встраивания шпионских программ в приложения для просмотра видео, но в них появились новые темы для мобильных геймеров, любителей оружия и пользователей TikTok. Функциональность этих вредоносных APK осталась прежней, однако код был обновлен для более эффективного нацеливания на новые устройства Android.
Transparent Tribe (APT36) APT
Transparent Tribe (также известная как APT36) в основном нацелена на индийское правительство и военных с помощью атак социальной инженерии. Ранее Transparent Tribe уже использовала APK-файлы, в частности, в сентябре 2023 года во время кампании, получившей название "The CapraTube campaign", где вредоносные APK-файлы использовались для выдачи себя за YouTube. Последняя кампания продолжает эту технику с обновленными предлогами социальной инженерии, увеличенной совместимостью со старыми версиями операционной системы (ОС) Android и расширенной направленностью на новые версии Android.
Новые версии CapraRAT используют WebView для запуска URL-адресов на YouTube или мобильный игровой сайт CrazyGames[.]com. URL-адреса обфусцированы, чтобы избежать обнаружения, а приложения предлагают пользователям предоставить несколько рискованных разрешений, включая: доступ к GPS-координатам, чтение и отправку SMS, чтение контактов, разрешение на запись звука и экрана, доступ к чтению и записи в хранилище, использование камеры, просмотр истории вызовов и совершение звонков. Примечательно, что новая кампания CapraRAT не запрашивает пермиссии на установку пакетов, получение учетных записей или аутентификацию аккаунтов. Аналитики SentinelLabs утверждают, что это может спровоцировать переход от использования CapraRAT в качестве бэкдора к использованию в качестве инструмента наблюдения.
Среди других значительных изменений в этом варианте CapraRAT - повышенная совместимость с Android Oreo (8.0) и выше, обеспечивающая бесперебойную работу на современных Android-устройствах. Предыдущие версии требовали Android Lollipop (5.1), которая менее совместима с нынешними устройствами.
Класс TCHPClient CapraRAT управляет своими вредоносными возможностями, собирая и отправляя данные на C2-сервер по заданным настройкам. При этом используется одно и то же имя хоста и IP-адрес сервера C2, что связано с предыдущей деятельностью Transparent Tribe.
По мнению SentinelLabs, минимальные обновления кода CapraRAT свидетельствуют об акценте на надежность и стабильность и согласуются с последовательной нацеленностью группы на индийское правительство и военных, которые вряд ли используют устаревшие версии Android и могут быть привлечены новыми темами APK, такими как мобильные игры и оружие.
Indicators of Compromise
IPv4
- 173.212.206.227
- 173.249.50.243
Domains
- shareboxs.net
SHA1
- 28bc3b3d8878be4267ee08f20b7816a6ba23623e
- c307f523a1d1aa928fe3db2c6c3ede6902f1084b
- dba9f88ba548cebfa389972cddf2bec55b71168b
- fff24e9f11651e0bdbee7c5cd1034269f40fc424