SentinelLabs, de onderzoeksafdeling van SentinelOne, heeft nieuwe malware geïdentificeerd die vermoedelijk verband houdt met de aan Pakistan gelieerde statelijke actor Transparent Tribe. Het gaat om vier nieuwe versies van CapraRAT-malware voor applicaties die zich nu ook richten op Android’s Oreo-versie (Android 8.0). De nieuwe versies van CapraRAT gebruiken Android’s WebView om een URL naar YouTube of een mobiele gamingsite te openen en richten zich nu op APK's voor mobiele gamers, TikTok-fans en wapenliefhebbers.
Transparent Tribe
Transparent Tribe (ook bekend als APT 36, Operation C-Major) is tenminste actief sinds 2016 met aanvallen op de Indiase regering en militair personeel. De groep vertrouwt sterk op social engineering-aanvallen, waaronder spear-phishing en watering hole-aanvallen, om apparaten te infecteren met Windows- en Android-spyware.
Dit nieuwe onderzoek bouwt voort op een ander onderzoek van SentinelLabs naar Transparent Tribe in 2023. Toen werd er gebruikgemaakt van geïnfecteerde Android-applicaties (APK) die waren ontworpen om YouTube-video’s na te bootsen. De nieuwe onderzoeksresultaten tonen de voortzetting van deze techniek. De updates van de CapraRAT-code tussen de campagne van september 2023 en de huidige campagne zijn minimaal, maar suggereren dat de ontwikkelaars de tool betrouwbaarder en stabieler willen maken.
Het gaat dan om updates van de social engineering-technieken en pogingen om de compatibiliteit van de spyware met oudere versies van het Android-besturingssyteem te maximaliseren. Tegelijkertijd wordt het aanvalsoppervlak uitgebreid naar moderne versies van Android. De algehele functionaliteit blijft hetzelfde, waarbij de onderliggende code wordt bijgewerkt zodat het beter bij moderne Android-apparaten past. De beslissing om over te stappen op nieuwere versies van het Android-besturingssysteem is waarschijnlijk te verklaren door de voortdurende targeting van individuen in de Indiase overheid en militair personeel. Waarschijnlijk gebruiken zij geen apparaten die oudere versies van Android draaien.
Compromittering voorkomen
Om compromittering door CapraRAT en soortgelijke malware te helpen voorkomen, moeten gebruikers altijd de door een app gevraagde machtigingen evalueren om te bepalen of deze nodig zijn. Voor een app die alleen TikTok-video's weergeeft, is het niet relevant om bijvoorbeeld sms-berichten te verzenden, te bellen of een schermopname uit te voeren. Die mogelijkheid zou dus helemaal niet aangeboden moeten worden.
