w – images.unsplash.com

SentinelLabs, die Cybersecurity-Forschungsabteilung von SentinelOne Inc., hat das Wiederauftauchen von CapraRAT festgestellt, einem berüchtigten Android-Fernzugriffstrojaner, der es über bösartige Apps auf mobile Gamer und TikTok-Nutzer abgesehen hat. CapraRAT ermöglicht den unbefugten Zugriff auf kompromittierte Geräte und stellt damit ein erhebliches Sicherheitsrisiko dar.

🚨📱 Android spyware news from SentinelLabs 🚨 We have identified four CapraRAT weaponized Android applications (APK) in a new spyware campaign that expands targeting to include mobile gamers, TikTok fans, and weapons enthusiasts. pic.twitter.com/V2SqS92jvz

— SentinelOne (@SentinelOne) July 2, 2024

Transparent Tribe (APT36), eine pakistanische Cybersecurity-Bedrohungsgruppe, die seit 2018 dafür bekannt ist, Mitarbeiter der indischen Regierung, des Militärs und Aktivisten ins Visier zu nehmen, nutzt CapraRAT weiterhin für ihre Kampagnen.

Kürzlich hat SentinelLabs vier neue CapraRAT Android Package Kits (APKs) aufgedeckt: Crazy Game, Sexy Videos, TikToks und Weapons. Diese Kits betten Spyware in scheinbar harmlose Video-Browsing-Apps ein und zielen darauf ab, private Daten zu sammeln und die Aktivitäten der Benutzer zu überwachen.

Operative Details und Überwachungstaktiken

Die Spyware arbeitet mit WebView, um URLs zu starten, die legitime Websites wie YouTube oder CrazyGames.com imitieren. Nach der Installation fordern diese bösartigen Anwendungen umfangreiche Berechtigungen an, darunter den Zugriff auf den GPS-Standort, Kontakte und die Möglichkeit, Audio- und Videoaufnahmen zu machen. Sobald die Berechtigungen erteilt wurden, kann CapraRAT sensible Daten vom Gerät des Opfers exfiltrieren.

Die laufende CapraTube-Kampagne, über die SentinelOne erstmals im September 2023 berichtete, unterstreicht den ausgeklügelten Ansatz von Transparent Tribe. Ihr setzt waffenfähige Android-Apps ein, die sich als beliebte Dienste ausgeben, um CapraRAT, eine modifizierte Version von AndroRAT, die für den Datendiebstahl optimiert wurde, zu verbreiten. Diese Gruppe ist dafür bekannt, Spear-Phishing- und Watering-Hole-Angriffe einzusetzen, um verschiedene Windows- und Android-Spionageprogramme zu verbreiten.

Anpassungen und zukünftige Auswirkungen

Während die neueste CapraRAT-Iteration nur minimale Code-Aktualisierungen aufweist, hat sich der Schwerpunkt auf die Verbesserung der Zuverlässigkeit und Stabilität verlagert. Die Spyware zielt nun sowohl auf ältere als auch auf moderne Android-Versionen ab und passt sich an, um die Kompatibilität mit Geräten zu gewährleisten, die von Zielpersonen in der indischen Regierung und im Militärsektor verwendet werden.

Um die mit CapraRAT und ähnlichen Bedrohungen verbundenen Risiken zu minimieren, solltet Ihr beim Herunterladen von Apps aus inoffiziellen Quellen vorsichtig sein. Es ist wichtig, die App-Berechtigungen gründlich zu überprüfen und Installationen auf vertrauenswürdige Plattformen wie den Google Play Store zu beschränken.

Der Einsatz robuster mobiler Sicherheitslösungen, die Bedrohungen in Echtzeit erkennen und Malware entfernen, kann den Schutz Ihres Geräts vor neuen Cyberbedrohungen weiter verbessern. Sich über neue Trends in der Cybersicherheit zu informieren und bewährte Verfahren anzuwenden, ist ein wichtiger Schritt zum Schutz der persönlichen Privatsphäre und der Sicherheit im Internet.