Le logiciel espion CapraRAT se fait passer pour une application Android populaire
Dans le domaine de la cybercriminalité, un acteur du nom de Transparent Tribe diffuse rapidement le logiciel espion CapraRAT en le déguisant en applications Android populaires. Les médias affirment que ces attaques s'inscrivent dans le cadre d'une vaste campagne d'ingénierie sociale ciblant des personnes d'intérêt.
Dans cet article, nous allons nous plonger dans les détails de ces attaques et apprendre comment fonctionne le logiciel espion CapraRAT. Commençons par le début !
Découverte initiale des campagnes de logiciels espions CapraRAT
Les campagnes d'attaques utilisant le logiciel espion CapraRAT ont été découvertes par SentinelOne en septembre 2023. Cette série d'attaques a été baptisée campagne CapraTube. Dans le cadre de la découverte initiale, il a été identifié que les acteurs de la menace à l'origine des attaques utilisaient des applications Android et les masquaient comme des applications populaires telles que YouTube.
Ces applications militarisées ont ensuite été utilisées comme moyen de distribution d'un logiciel espion appelé CapraRAT. Il convient de préciser que ce logiciel espion est une version modifiée d'AndroRAT et qu'il possède des capacités lui permettant de capturer des informations sensibles. Transparent Tribe, le groupe d'acteurs de la menace à l'origine de ces attaques, serait d'origine pakistanaise.
Selon les médias, le groupe de cybercriminels utilise le CapraRAT depuis environ deux ans. En outre, les cibles de l'acteur de la menace comprennent le gouvernement indien et le personnel militaire. Le groupe est connu pour utiliser le spear-phishing et les attaques de type "watering hole" pour diffuser des logiciels espions.
Applications Android contenant des logiciels malveillants
Il a également été constaté que les attaques de logiciels espions CapraRAT reposent sur des techniques similaires, mais qu'elles sont dotées de capacités avancées. Alex Delamotte, chercheur en cybersécurité, a fait la lumière sur ces techniques et capacités :
"L'activité mise en évidence dans ce rapport montre la poursuite de cette technique avec des mises à jour des prétextes d'ingénierie sociale ainsi que des efforts pour maximiser la compatibilité du logiciel espion avec les anciennes versions du système d'exploitation Android tout en élargissant la surface d'attaque pour inclure les versions modernes d'Android".
Parmi les applications APK malveillantes les plus récentes identifiées par le cabinet de recherche en cybersécurité figurent les suivantes :
- Crazy Game (com.maeps.crygms.tktols)
- Vidéos sexy (com.nobra.crygms.tktols)
- TikToks (com.maeps.vdosa.tktols)
- Armes (com.maeps.vdosa.tktols)
Fonctionnalité de l'attaque du logiciel espion CapraRAT
En ce qui concerne la fonctionnalité de l'attaque, le logiciel espion CapraRAT utilise WebView pour lancer une URL. Cette URL est dirigée vers YouTube ou CrazyGames[.]com, une plateforme de jeux mobile. Une fois que la cible se trouve sur l'une de ces plateformes, le logiciel espion CapraRAT abuse des autorisations acquises pour accéder à des données sensibles qui peuvent inclure :
- Journal des appels.
- Messages.
- Emplacements.
Outre l'accès à ces données, il peut également être utilisé pour enregistrer du son ou de la vidéo, faire des captures d'écran et passer des appels téléphoniques.
Des rapports affirment que le logiciel espion est utilisé à des fins de surveillance car les autorisations telles que REQUEST_INSTALL_PACKAGES, READ_INSTALL_SESSIONS, et GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS ne sont ni demandées ni acquises.
L'utilisation de ces techniques indique que les acteurs de la menace qui utilisent des logiciels malveillants à des fins malveillantes sont devenus plus sophistiqués et que leurs attaques sont désormais plus graves qu'auparavant.
Conclusion
La campagne de logiciels espions CapraRAT menée par Transparent Tribe illustre la sophistication croissante des tactiques de cyberespionnage. En déguisant des logiciels malveillants en applications Android populaires, ces acteurs de la menace exploitent efficacement l'ingénierie sociale pour cibler des personnes de premier plan.
Cet incident souligne la nécessité de renforcer les mesures de cybersécurité, y compris la vérification vigilante des applications et la surveillance continue. L'utilisation de mesures de cybersécurité avancées est essentielle pour se défendre contre ces menaces en constante évolution et protéger les informations sensibles.
Les sources de cet article comprennent des articles parus dans The Hacker News et SC Magazine.