Sommario
Un nuovo report di SentinelLabs ha rivelato quattro nuovi APK di CapraRAT, collegati all’attore di stato sospettato di essere allineato al Pakistan, noto come Transparent Tribe. Questi APK continuano la tendenza del gruppo di incorporare spyware in applicazioni di navigazione video curate, espandendo il target a giocatori mobili, appassionati di armi e fan di TikTok.
Transparent Tribe, anche noto come APT 36 o Operation C-Major, è attivo dal 2016 e si concentra su attacchi contro personale governativo e militare indiano. Il gruppo utilizza pesantemente attacchi di ingegneria sociale per distribuire vari spyware su Windows e Android, inclusi spear-phishing e attacchi watering hole. La campagna di settembre 2023 di CapraTube utilizzava app Android modificate per imitare YouTube, spesso in un contesto di appuntamenti. La nuova campagna continua questa tecnica, aggiornando il codice per migliorare la compatibilità con le versioni moderne di Android.
Nuovi APK di CapraRAT
I nuovi APK di CapraRAT utilizzano WebView per lanciare URL a YouTube o a siti di giochi mobili come CrazyGames. Le app richiedono permessi rischiosi che includono l’accesso alla posizione GPS, la gestione dello stato della rete, la lettura e l’invio di SMS, l’accesso ai contatti, la registrazione audio e video, e l’accesso alla memoria di archiviazione.
Dettagli dei nuovi APK
| SHA-1 | Nome App | Nome Pacchetto |
|---|---|---|
| c307f523a1d1aa928fe3db2c6c3ede6902f1084b | Crazy Game signed.apk | com.maeps.crygms.tktols |
| dba9f88ba548cebfa389972cddf2bec55b71168b | Sexy Videos signed.apk | com.nobra.crygms.tktols |
| 28bc3b3d8878be4267ee08f20b7816a6ba23623e | TikTok signed.apk | com.maeps.vdosa.tktols |
| fff24e9f11651e0bdbee7c5cd1034269f40fc424 | Weapons signed.apk | com.maeps.vdosa.tktols |
Funzionalità dello Spyware
Il malware ha la capacità di:
- Rubare credenziali del browser e informazioni sui portafogli di criptovalute.
- Registrare i contenuti degli appunti e i tasti digitati.
- Scaricare ed eseguire payload aggiuntivi.
Il malware persiste tramite un’attività pianificata che esegue il payload principale ogni tre ore.
Indicatori di Compromissione
| Domain/IP | Descrizione |
|---|---|
| shareboxs[.]net | Dominio C2 |
| 173[.]212[.]206[.]227 | Indirizzo IP C2 risolto |
| 173[.]249[.]50[.]243 | Indirizzo IP di failover C2 |
Compatibilità e aggiornamenti
Le versioni più recenti di CapraRAT contengono riferimenti ad Android Oreo (Android 8.0), migliorando la compatibilità con le versioni moderne di Android. Le versioni precedenti richiedevano Lollipop (Android 5.1), meno compatibile con i dispositivi moderni. I nuovi APK funzionano senza problemi su Android 13 (Tiramisu) e Android 14.
Le modifiche al codice di CapraRAT suggeriscono che gli sviluppatori si concentrano sulla stabilità e affidabilità dello strumento. L’aggiornamento delle versioni di Android e il ridotto numero di permessi richiesti indicano un’attenzione maggiore alla sorveglianza piuttosto che a un controllo completo del dispositivo. Secondo Sentinel One, autore della scoperta, gli utenti dovrebbero sempre valutare i permessi richiesti da un’app per determinarne la necessità, evitando di concedere permessi non necessari.
