نکات کلیدی درخصوص تروجان CapraRAT
- SentinelLabs چهار APK جدید آلوده به تروجان CapraRAT را شناسایی کرده است.
- CapraRATاز جمله خانوادههای بدافزاری است که توسط Transparent Tribe، یک گروه سایبری پاکستانی استفاده میشود.
- APKهای آلوده به بدافزار، بیانگر رویکرد گروه برای پنهان کردن نرم افزار جاسوسی در این اپلیکشنها است.
- عملکرد نسخه جدید تروجان CapraRAT در حملات اخیر، تقریبا مانند گذشته میباشد اما کد زیرساخت آن به روزرسانی شده است تا با دستگاههای اندرویدی مدرن سازگاری بیشتری داشته باشد.
بررسی اجمالی
نسخه جدید یک جاسوس افزاری به نام CapraRAT که در چهار اپلیکیشن محبوب و پرمخاطب پنهان شده است، کاربران اندروید را مورد هدف قرار میدهد. CapraRAT، یک تروجان دسترسی از راه دور (RAT) است که احتمالاً نسخه اصلاح شده RAT دیگری به نام AndroRAT میباشد.
تروجان CapraRAT توسط یک گروه سایبری به نام Transparent Tribe (با نام مستعار APT36، عملیات C-Major) استفاده میشود. این تروجان به مهاجمان اجازه میدهد تا اقدامات خاصی را بر روی دستگاههای اندرویدی آلوده به بدافزار انجام دهند.
Transparent Tribe، این گروه سایبری پاکستانی، حداقل از سال 2013 فعال میباشد و به شدت به حملات مهندسی اجتماعی از جمله حملات فیشینگ هدفمند و watering hole برای ارائه انواع جاسوس افزارهای ویندوزی و اندرویدی متکی است.
Transparent Tribe، بیش از دو سال است که CapraRAT را در حملاتی که دولت و پرسنل نظامی هند را هدف قرار میدهند، مورد استفاده قرار داده است.
APKهای جدید آلوده به تروجان CapraRAT
لیست اپلیکیشنهای جدید آلوده به تروجان CapraRAT به شرح زیر میباشد:
Package Name | SHA-1 | App Name |
com.maeps.crygms.tktols | c307f523a1d1aa928fe3db2c6c3ede6902f1084b | Crazy Game signed.apk |
com.nobra.crygms.tktols | dba9f88ba548cebfa389972cddf2bec55b71168b | Sexy Videos signed.apk |
com.maeps.vdosa.tktols | 28bc3b3d8878be4267ee08f20b7816a6ba23623e | TikTok signed.apk |
com.maeps.vdosa.tktols | fff24e9f11651e0bdbee7c5cd1034269f40fc424 | Weapons signed.apk |
رفتارهای جدید تروجان CapraRAT
نسخه جدید تروجان CapraRAT از WebView برای راه اندازی (لانچ کردن) یک URL به YouTube یا یک وب سایت بازی مانند CrazyGames[.]com استفاده میکند. این تروجان از مجوزهای درخواستی خود برای دسترسی به لوکیشن، پیامهای SMS، فهرست مخاطبین، گزارشهای تماس، برقراری تماس و گرفتن اسکرین شات سوء استفاده میکند.
یک تغییر قابل توجه در نسخه جدید تروجان CapraRAT، این است که مجوزهایی مانند READ_INSTALL_SESSIONS، GET_ACCOUNTS، AUTHENTICATE_ACCOUNTS و REQUEST_INSTALL_PACKAGES دیگر درخواست نمیشوند. این موضوع بیانگر آن است که مهاجمان سایبری قصد دارند از این بدافزار جدید به عنوان یک ابزار نظارتی استفاده کنند تا به عنوان یک بکدور!
بهروزرسانیهای انجام شده در کد CapraRAT بین حملات سپتامبر 2023 و حملات کنونی، بسیار جزئی و کم میباشد و توسعهدهندگان بیشتر بر روی اهداف جاسوسی متمرکز شدهاند. بهروزرسانی تم APK حاکی از آن است که این گروه همچنان به تکنیکهای مهندسی اجتماعی اهمیت میدهد تا کاربران بیشتری را به بدافزار آلوده کند.
کاربران میبایست به منظور جلوگیری از آلوده شده دستگاه به انواع بدافزارها همچون تروجان CapraRAT، مجوزهای درخواستی یک اپلیکیشن را مورد بررسی قرار دهند و ارزیابی کنند که آیا این برنامه واقعا به چنین مجوزهایی نیاز دارد یا خیر؟!
به عنوان مثال، برنامهای که فقط ویدیوهای TikTok را نمایش میدهد، نیازی به ارسال پیام کوتاه، برقراری تماس یا رکورد کردن صفحه نمایش ندارد. از این رو، میبایست در برابر چنین نشانههایی هوشیار بود.
