Transparent Tribe (diğer adıyla APT36), 2016’dan beri faaliyet gösteriyor ve Hindistan hükümetini ve askeri personelini hedef alan sosyal mühendislik stratejilerine odaklanıyor.
Transparent Tribe’ın (diğer adıyla APT36) CapraTube kampanyası, Eylül 2023’te ortaya çıktı ve tehdit aktörleri, çoğunlukla flört senaryolarında, YouTube gibi görünen silahlı Android uygulamalarını kullandı.
SentinelLabs’daki siber güvenlik araştırmacıları, CapraRAT’ın Android kullanıcılarına saldırarak popüler Android uygulamalarını taklit ettiğini keşfetti.
Bu son eylemler, Android’in eski ve modern sürümleriyle karmaşık ancak nispeten artırılmış casus yazılım uyumluluğunu ima ederek, grubun uyum sağlama yeteneğini ve saldırı yüzeyini Hindistan hedeflerine karşı genişletme yönündeki sürekli çabasını ortaya koyuyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
CapraRAT Android Uygulamaları Olarak
Bu kötü amaçlı yazılımın kodu, gizlenmiş URL’ler içeriyor ve YouTube ve CrazyGames’i başlatmak için WebView’ı kullanıyor[.]com. “Sexy Videos” uygulaması hala romantizme odaklı sosyal mühendislik taktikleri kullanıyor.
“TikTok”, “Tik Toks” aramasıyla YouTube’u başlatan bir uygulamada önceden yüklenmiş bir sorgudur. “Silahlar” olarak etiketlenen bir diğeri, Unutulmuş Silahlar YouTube kanalını açarken, “Crazy Games” adlı üçüncüsü CrazyGames’i yükler[.]com.
.webp)
SentinelLabs araştırmacıları, CapraRAT’ın çalışma biçimindeki bu değişikliğin, esnekliğini ve kötü niyetli faaliyetleri gizlemek için gerçek platformları kullandığını, dolayısıyla hassas cihaz izinlerine erişim gibi temel işlevini sürdürdüğünü gösteriyor.
En son CapraTube kampanyası, bu tür uygulamaları kullanarak aynı eski aşk temalı sosyal mühendislikle devam ediyor. Bu uygulamalar YouTube’u açar ve temayla ilgili aramalar yapar.
Daha önce talep edilen bazı izinler kaldırılmış olsa da bu kötü amaçlı yazılım izleme sırasında çok sayıda tehlikeli izin istiyor.
Eylül 2023’te başlatılan kampanyaya göre artık Android 8.0 (Oreo) ve üzeri sürümler, modern cihazlarla daha uyumlu hale getirilmek üzere hedefleniyor.
Yine de, yeni Android sürümlerinde iyi çalışmasına rağmen şüpheli izinler istiyorlar. Sonuç olarak, eski Android sürümleriyle uyumluluğu korumak için yeni bir WebView sınıfı eklendi.
Bu yönlerin güncellenmesinden sonra bile, kötü amaçlı yazılımların temel işlevleri büyük ölçüde değişmeden kalıyor; çünkü bunlar gözetleme yeteneklerine odaklanıyor.
Casus yazılım uygulaması CapraRAT, MainActivity aracılığıyla başlatılır ve kötü amaçlı etkinlikler için TCHPClient sınıfını kullanır. Ses akışı, çağrı kaydı, iletişim kaydı, dosya tarama ve SMS koklama işlevleri içerir.
Bu tür kötü amaçlı yazılımlar, C2 sunucularıyla iletişim kurmak için belirli ana bilgisayar adlarını ve IP adreslerini kullanır; bunlardan bazıları CrimsonRAT gibi diğer kötü amaçlı yazılımlara bağlıdır.
Son güncellemeler, yazılımın güvenilirliğini artırmayı ve daha yeni Android sürümleriyle uyumluluğunu sağlamayı amaçlıyor.
Bu zararlı yazılımın kullandığı sosyal mühendislik taktikleri, mobil oyuncular veya silah tutkunları gibi belirli grupları hedef alıyor.
Kullanıcıların, yükleme sırasında uygulama izinlerine dikkat etmeleri ve gereksiz erişim isteklerine karşı dikkatli olmaları gerekiyor.
Olay müdahale ekipleri CapraRAT ile ilgili belirli ağ göstergelerini ve yöntem adlarını takip etmelidir.
IoC’ler
.webp)
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files