CapraRAT Spyware tarnt sich als beliebte Android-Apps
Im Bereich der Cyberkriminalität verbreitet ein Bedrohungsakteur mit dem Namen Transparent Tribe die Spyware CapraRAT schnell, indem er sie als beliebte Android-Apps tarnt. Medienberichten zufolge sind diese Angriffe Teil einer größeren Social-Engineering-Kampagne, die auf Personen von Interesse abzielt.
In diesem Artikel werden wir uns mit den Details dieser Angriffe befassen und erfahren, wie die Spyware CapraRAT funktioniert. Fangen wir an!
CapraRAT Spyware-Kampagnen Erste Entdeckung
Angriffskampagnen mit der Spyware CapraRAT wurden erstmals im September 2023 von SentinelOne entdeckt. Diese Reihe von Angriffen wird als CapraTube-Kampagne bezeichnet. Im Rahmen der ersten Entdeckung wurde festgestellt, dass die hinter den Angriffen stehenden Bedrohungsakteure Android-Apps als Waffe einsetzen und sie als beliebte Apps wie YouTube tarnen.
Diese waffenfähigen Anwendungen wurden dann als Verbreitungsmedium für Spyware namens CapraRAT verwendet. Es ist erwähnenswert, dass es sich bei dieser Spyware um eine modifizierte Version von AndroRAT handelt, die in der Lage ist, sensible Informationen abzufangen. Es wird angenommen, dass Transparent Tribe, die hinter diesen Angriffen stehende Bedrohungsgruppe, pakistanischen Ursprungs ist.
Medienberichten zufolge nutzt die Cyberkriminelle Gruppe das CapraRAT bereits seit etwa zwei Jahren. Zu den Zielen der Bedrohungsakteure gehören auch die indische Regierung und das Militär. Die Gruppe ist dafür bekannt, dass sie in der Vergangenheit Spear-Phishing- und Watering-Hole-Angriffe zur Verbreitung von Spyware eingesetzt hat.
Mit Malware verseuchte Android-Apps
Es wurde auch festgestellt, dass die Spyware-Angriffe von CapraRAT auf ähnlichen Techniken beruhen, aber über erweiterte Fähigkeiten verfügen. Alex Delamotte, ein Cybersecurity-Forscher, hat diese Techniken und Fähigkeiten näher beleuchtet:
"Die in diesem Bericht aufgezeigten Aktivitäten zeigen die Fortsetzung dieser Technik mit Aktualisierungen der Social-Engineering-Vorwände sowie Bemühungen, die Kompatibilität der Spyware mit älteren Versionen des Android-Betriebssystems zu maximieren und gleichzeitig die Angriffsfläche auf moderne Android-Versionen zu erweitern."
Zu den neuesten bösartigen APKs, die das Forschungsunternehmen für Cybersicherheit identifiziert hat, gehören einige:
- Verrücktes Spiel (com.maeps.crygms.tktols)
- Sexy Videos (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Waffen (com.maeps.vdosa.tktols)
Funktionsweise des Spyware-Angriffs CapraRAT
Was die Angriffsfunktionalität betrifft, so verwendet die Spyware CapraRAT WebView, um eine URL aufzurufen. Die URL wird entweder an YouTube oder CrazyGames[.]com, eine mobile Spieleplattform, weitergeleitet. Sobald sich das Ziel auf einer dieser Plattformen befindet, missbraucht die CapraRAT-Spyware die erworbenen Berechtigungen, um auf sensible Daten zuzugreifen, die Folgendes umfassen können:
- Anrufprotokolle.
- Nachrichten.
- Standorte.
Neben dem Zugriff auf diese Daten können damit auch Audio- oder Videoaufnahmen gemacht, Screenshots erstellt und Telefonate geführt werden.
Berichten zufolge wird die Spyware zu Überwachungszwecken eingesetzt, da Berechtigungen wie REQUEST_INSTALL_PACKAGES, READ_INSTALL_SESSIONS und GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS weder angefordert noch erworben werden.
Der Einsatz solcher Techniken deutet darauf hin, dass die Bedrohungsakteure, die Malware für böswillige Zwecke einsetzen, raffinierter geworden sind und ihre Angriffe nun schwerwiegender sind als früher.
Schlussfolgerung
Die Spyware-Kampagne CapraRAT von Transparent Tribe veranschaulicht die zunehmende Raffinesse von Cyberspionage-Taktiken. Indem sie Malware als beliebte Android-Apps tarnen, nutzen diese Bedrohungsakteure Social Engineering effektiv aus, um hochrangige Personen anzugreifen.
Dieser Vorfall unterstreicht den dringenden Bedarf an verbesserten Cybersicherheitsmaßnahmen, einschließlich einer aufmerksamen App-Überprüfung und kontinuierlichen Überwachung. Der Einsatz fortschrittlicher Cybersicherheitsmaßnahmen ist unerlässlich, um sich gegen solche sich entwickelnden Bedrohungen zu schützen und sensible Informationen zu sichern.
Die Quellen für diesen Artikel sind Artikel in The Hacker News und SC Magazine.