CapraRAT Android Kötü Amaçlı Yazılım Android Telefonları Ele Geçiriyor

   Eylül 20, 2023  Posted in CyberSecurityNews


CapraRAT Android Telefonları Ele Geçirdi

Şüpheli Pakistanlı grup Transparent Tribe’ın orduyu, diplomatları ve şimdi de Hindistan eğitim sektörünü hedef aldığı biliniyor.

Play Store dışındayken, silahlı Android uygulamalarını kendi kendine çalışan siteler ve sosyal mühendislik taktikleri aracılığıyla dağıtıyorlar.

Sentinel Labs’taki siber güvenlik araştırmacıları yakın zamanda bu grubun arkasındaki tehdit aktörlerinin YouTube uygulamasını taklit ederek Android cihazlarını ele geçirmek için CapraRAT Android kötü amaçlı yazılımını aktif olarak kullandıklarını bildirdi.

Örgüt, 2018’den beri programların içindeki RAT işlevlerini gizleyen CapraRAT kötü amaçlı yazılımını kullanıyor. Tehdit aktörleri bunu Pakistanlı insan hakları aktivistlerini ve Keşmir ile ilgili sorunları izlemek için kullandı.

Kötü Amaçlı Yazılım Android Telefonları Ele Geçiriyor

Ancak bunun yanı sıra grup, CapraRAT’ı 2023’ün başlarında çeşitli yasa dışı ve casus yazılım faaliyetleri için bir flört uygulaması olarak gizledi.

Bir APK, Piya Sharma’nın sahip olduğu bir YouTube kanalına bağlanıyor ve onun adını ve benzerliğini ödünç alıyor; bu da grubun romantizme dayalı sosyal mühendislik kullanmaya devam ettiğini gösteriyor.

CapraRAT Android Telefonları Ele Geçirdi
Piya Sharma uygulaması (Kaynak – Sentinel Labs)

CapraRAT, aşağıdaki önemli özelliklerle veri toplama ve dışarı çıkarma yetenekleri sunar:-

  • Mikrofonla kayıt
  • Ön kamerayla kayıt
  • Arka kamerayla kayıt
  • SMS toplama
  • Multimedya mesaj içeriklerini toplama
  • Arama kayıtlarını toplama
  • SMS mesajları gönderme
  • Gelen SMS’i engelleme
  • Telefon çağrılarını başlatma
  • Ekran görüntüleri alma
  • Sistem ayarlarını geçersiz kılma
  • Telefonun dosya sisteminde dosyalar değiştiriliyor



Belge

ÜCRETSİZ Web Semineri

Çeşitli saldırı türleri ve bunların nasıl önleneceği hakkında bilgi edinmek için Canlı DDoS Web Sitesi ve API Saldırı Simülasyonu web seminerine katılın.


CapraRAT YouTube Uygulamasını Taklit Ediyor

Başlangıçta Trend Micro tarafından adlandırılan CapraRAT’ın, Android APK dağıtımında AndroRAT’ın ipuçlarını taşıdığı görüldü.

Araştırmacılar çeşitli YouTube temalı CapraRAT APK’ları belirlediler ve bunların arasından üç örneği analiz ettiler. Aşağıda bunlardan bahsettik: –

  • 8beab9e454b5283e892aeca6bca9afb608fa8718 – yt.apk
  • 83412f9d757937f2719ebd7e5f509956ab43c3ce – YouTube_052647.apk
  • 14110facecceb016c694f04814b5e504dc6cde61 – Piya Sharma.apk

CapraRAT’ın MainActivity özelliği, lansman sırasında YouTube’u bir Web Görünümünde yükleyerek yerel Android uygulamasına kıyasla farklı bir kullanıcı deneyimi sunar.

CapraRAT Android Telefonları Ele Geçirdi
load_web’in küçük bir parçası (Kaynak – Sentinel Labs)

CapraRAT, çok yönlü bir Android çerçevesi olduğundan farklı uygulamalarda farklı dosya yapıları sergiler. Güvenlik analistleri üç CapraRAT APK’sının tamamını analiz ettiğinde aşağıdaki dosyalar bulundu: –

  • İsim: yt.apk
  • Yapılandırma: com/media/gallery/service/settings
  • Sürüm: MSK-2023
  • Ana: com/media/gallery/service/MainActivity
  • Kötü Amaçlı Etkinlik: com/media/gallery/service/TPSClient
  • Ad: YouTube_052647.apk
  • Yapılandırma: com/Base/media/service/setting
  • Sürüm: AFU3
  • Ana: com/Base/media/service/MainActivity
  • Kötü Amaçlı Etkinlik: com/Base/media/service/TCHPClient
  • İsim: Piya Sharma.apk
  • Yapılandırma: com/videos/watchs/share/setting
  • Sürüm: VUH3
  • Ana: com/videos/watchs/share/MainActivity
  • Kötü Amaçlı Etkinlik: com/videos/watchs/share/TCPClient

MainActivity, onCreate yönteminde Autostarter aracılığıyla kalıcılığı mümkün kılarak temel özellikleri destekler. mTCPService’i TPClient olarak başlatır ve her dakika çalışacak bir alarm planlar.

RAT’ın temel etkinliği TPSClient, 10.000’den fazla satır Smali kodu içeren Extra_Class’a benzer. TPSClient, CapraRAT komutlarını, komutları yöntemlere bağlayan switch ifadeleriyle birlikte bir çalıştırma yöntemi aracılığıyla işler.

Dikkate değer değişiklikler, muhtemelen Android 9 sonrası işletim sistemi değişikliklerine bağlı olarak, hideApp yönteminin Android sürümüne ve yapılandırma ayarlarına dayalı davranışını içerir.

CapraRAT’ın yapılandırma dosyası, C2 sunucusunu SERVERIP olarak ve bağlantı noktası değerlerini onaltılık Big Endian biçiminde saklar ve belirli APK’lar için bağlantı noktası 14862, 18892 ve 10284’e dönüştürülür.

Savunma ve Önleyici Tedbirler

Aşağıda önerilen tüm güvenlik önlemlerinden bahsettik: –

  • Güvenli Android Uygulamaları için Google Play’e bağlı kaldığınızdan emin olun.
  • Feed’inizde sosyal medya ağlarında reklamı yapılan yeni sosyal uygulamalara karşı her zaman dikkatli olun.
  • Uygulamalara izin verirken daima dikkatli olun.
  • Cihazınıza üçüncü taraf uygulamaların kopyalarını yüklemekten kaçının.
  • Tanımadığınız uygulamalara kritik izinler vermeyin.

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link