“透明部落”APT组织持续释放带有恶意软件的 Android 应用程序,作为针对相关个人的社会工程活动的一部分。
SentinelOne 安全研究员 Alex Delamotte在一篇报告中表示:“这些 APK 延续了该组织将间谍软件嵌入精选视频浏览应用程序的趋势,新的扩展针对的是手机游戏玩家、武器爱好者和 TikTok 粉丝。”
该活动被称为 CapraTube,由网络安全公司于 2023 年 9 月首次提出,黑客团队使用武器化的 Android 应用程序冒充 YouTube 等合法应用程序来投放名为 CapraRAT 的间谍软件,这是 AndroRAT 的修改版本,具有捕获各种敏感数据的能力。
透明部落 (Transparent Tribe) 疑似来自巴基斯坦,两年多来一直利用CapraRAT攻击印度政府和军事人员。该组织曾利用鱼叉式网络钓鱼和水坑攻击来传播各种 Windows 和 Android 间谍软件。
“本报告中重点介绍的活动表明,这种技术仍在继续使用,社会工程学借口不断更新,并努力最大限度地提高间谍软件与旧版本 Android 操作系统的兼容性,同时扩大攻击面以包括支持最新 Android 版本。”Delamotte 解释道。
SentinelOne 识别出的新恶意 APK 文件列表如下:
- 疯狂游戏(com.maeps.crygms.tktols)性感视频(com.nobra.crygms.tktols)TikTok(com.maeps.vdosa.tktols)武器(com.maeps.vdosa.tktols)
CapraRAT 使用 WebView 启动 YouTube 或名为 CrazyGames[.]com 的移动游戏网站的 URL,同时在后台滥用其权限访问位置、短信、联系人和通话记录;拨打电话;截屏;或录制音频和视频。
假冒 TikTok 页面和以武器为主题的 CapraRAT YouTube WebView
该恶意软件的一个显著变化是不再请求READ_INSTALL_SESSIONS、GET_ACCOUNTS、AUTHENTICATE_ACCOUNTS 和 REQUEST_INSTALL_PACKAGES 等权限,这表明攻击者旨在将其用作监视工具而不是后门。
Delamotte 说:“2023 年 9 月活动与当前活动之间对 CapraRAT 代码的更新很少,但表明开发人员专注于使该工具更加可靠和稳定。”
“决定使用较新版本的 Android 操作系统是合乎逻辑的,并且可能与该组织持续针对印度政府或军事领域的个人的目标一致,这些人不太可能使用运行旧版本 Android 的设备,例如 8 年前发布的 Lollipop。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/IESzCr121X58ch9kQ3oLVw
封面来源于网络,如有侵权请联系删除
