ClickCease Alerta: El spyware CapraRAT se distribuye como aplicaciones populares de Android - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El spyware CapraRAT se enmascara como aplicaciones populares de Android

por Wajahat Raja

July 18, 2024 - TuxCare expert team

En el ámbito de la ciberdelincuencia, un actor de amenazas llamado Transparent Tribe está propagando rápidamente el spyware CapraRAT disfrazándolo de aplicaciones populares de Android. Los medios de comunicación afirman que estos ataques forman parte de una campaña de ingeniería social más amplia dirigida a personas de interés.

En este artículo, nos sumergiremos en los detalles de estos ataques y aprenderemos cómo funciona el spyware CapraRAT. Comencemos.

Descubrimiento inicial de las campañas de spyware de CapraRAT

SentinelOne descubrió por primera vez en septiembre de 2023 campañas de ataques con el programa espía CapraRAT. Esta serie de ataques se conoce como la campaña CapraTube. Como parte del descubrimiento inicial se identificó que los actores de la amenaza detrás de los ataques estaban armando aplicaciones de Android y enmascarándolas como aplicaciones populares como YouTube.

Estas aplicaciones convertidas en armas se utilizaron como medio de distribución de un programa espía llamado CapraRAT. Vale la pena mencionar aquí que este spyware es una versión modificada del AndroRAT y tiene capacidades que le permiten capturar información sensible. Se cree que Transparent Tribe, el grupo que está detrás de estos ataques, es de origen pakistaní.

Los medios de comunicación han afirmado que el grupo de ciberdelincuentes ha utilizado el CapraRAT durante unos dos años. Además, entre los objetivos de la amenaza se encuentran el gobierno indio y personal militar. El grupo es conocido por utilizar ataques de spear-phishing y watering hole para distribuir spyware.

Aplicaciones Android con malware

También se ha identificado que los ataques de spyware CapraRAT funcionan basándose en técnicas similares, pero tienen capacidades avanzadas. Para arrojar luz sobre estas técnicas y capacidades, Alex Delamotte, un investigador de ciberseguridad, ha declarado que:

"La actividad destacada en este informe muestra la continuación de esta técnica con actualizaciones de los pretextos de ingeniería social, así como los esfuerzos para maximizar la compatibilidad del spyware con versiones anteriores del sistema operativo Android, al tiempo que amplía la superficie de ataque para incluir versiones modernas de Android."

Algunos de los APK de aplicaciones maliciosas más recientes identificados por la empresa de investigación de ciberseguridad incluyen:

  • Juego de locos (com.maeps.crygms.tktols)
  • Vídeos sexys (com.nobra.crygms.tktols)
  • TikToks (com.maeps.vdosa.tktols)
  • Armas (com.maeps.vdosa.tktols)

Funcionalidad de ataque del spyware CapraRAT

En cuanto a la funcionalidad del ataque, el programa espía CapraRAT utiliza WebView para lanzar una URL. La URL se dirige a YouTube o a CrazyGames[.]com, una plataforma de juegos para móviles. Una vez que el objetivo se encuentra en una de estas plataformas, el spyware CapraRAT abusa de los permisos adquiridos para acceder a datos sensibles que pueden incluir:

  • Registros de llamadas.
  • Mensajes.
  • Ubicaciones.

Además de acceder a esos datos, también se puede utilizar para grabar audio o vídeo, hacer capturas de pantalla y realizar llamadas telefónicas.

Los informes afirman que el spyware se utiliza con fines de vigilancia, ya que no se solicitan ni se adquieren permisos como REQUEST_INSTALL_PACKAGES, READ_INSTALL_SESSIONS, y GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS.

El uso de estas técnicas indica que los actores de amenazas que utilizan malware con fines maliciosos se han vuelto más sofisticados y sus ataques son ahora más graves que antes.

Conclusión

La campaña de spyware CapraRAT de Transparent Tribe ilustra la creciente sofisticación de las tácticas de ciberespionaje. Al disfrazar el malware como aplicaciones populares de Android, estos actores de amenazas explotan eficazmente la ingeniería social para dirigirse a personas de alto perfil.

Este incidente subraya la necesidad crítica de mejorar las medidas de ciberseguridad, incluida la verificación vigilante de las aplicaciones y la supervisión continua. El uso de medidas avanzadas de ciberseguridad es esencial para defenderse de estas amenazas cambiantes y proteger la información sensible.

Las fuentes de este artículo incluyen artículos en The Hacker News y SC Magazine.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.