CapraRAT

Die CapraRAT-Bedrohung ist eine voll funktionsfähige Android-RAT (Remote Access Trojan), die als Teil von Cyberspionage-Angriffen eingesetzt werden soll. Details zu dieser besonderen Bedrohung wurden in einem von den Forschern von Trend Micro veröffentlichten Bericht enthüllt. Ihre Analyse hat ein erhebliches Maß an Überschneidungen zwischen CapraRAT und einer zuvor identifizierten Bedrohung namens Crimson RAT ergeben.

Die Crimson RAT wird als Teil der bedrohlichen Operationen einer APT-Gruppe (Advanced Persistent Threat), die als Earth Karkaddan verfolgt wird, zugeschrieben und beobachtet. Dieselbe Gruppe von Hackern kann auch als APT36, Operation C-Major, PROJECTM, Mythic Leopard und Transparent Tribe angetroffen werden.

Technische Details

CapraRAT ist eine weitere speziell entwickelte Android-RAT, die jetzt Teil des Bedrohungsarsenals der Gruppe ist. Die Bedrohung stützt sich höchstwahrscheinlich auf Social-Engineering-Taktiken und Phishing-Links, um den ersten Zugriff auf das Gerät des Opfers zu erhalten. Um Benutzer abzuschrecken, wird die beschädigte Nutzlast getarnt und als Youtube-Anwendung verbreitet.

Im Kern scheint CapraRAT auf einer Open-Source-RAT-Bedrohung namens AndroRAT zu basieren. Als solches ist es mit zahlreichen aufdringlichen Funktionen im Zusammenhang mit dem Sammeln und anschließenden Exfiltrieren von Daten ausgestattet. CapraRAT kann die Geolokalisierung des Opfers erfassen, Telefonprotokolle erhalten und Kontaktinformationen extrahieren.

Angriffsverlauf

Die APT36-Gruppe war konsequent bei Operationen gegen indische militärische und diplomatische Einheiten aktiv. Die ersten konkreten Anzeichen seiner Präsenz wurden bereits 2016 bei einem Angriff zum Sammeln von Informationen auf indisches Militär- und Regierungspersonal beobachtet. Im Jahr 2018 setzte die Gruppe eine Android-Spyware-Bedrohung gegen Menschenrechtsaktivisten in Pakistan ein, die beabsichtigte, Telefonanrufe und Nachrichten abzufangen, Fotos zu missbrauchen und ihre Bewegungen zu verfolgen. Im Jahr 2020 modifizierten die Hacker ihre Ködernachrichten so, dass sie jetzt militärische oder COVID-19-bezogene Köder enthielten, und verwendeten sie, um eine modifizierte Version einer anderen Android-RAT namens AhMyth zu liefern.