Ciberseguridad 360 | Software espía CapraRAT se disfraza de aplicaciones populares y amenaza a usuarios de Android

El actor de amenazas conocido como Transparent Tribe ha continuado liberando aplicaciones Android cargadas de malware como parte de una campa�a de ingenier�a social dirigida a personas de inter�s.

"Estos APKs contin�an la tendencia del grupo de incrustar spyware en aplicaciones de navegaci�n de v�deo curadas, con una nueva expansi�n dirigida a los jugadores m�viles, entusiastas de las armas, y los fans de TikTok", dijo el investigador de seguridad SentinelOne Alex Delamotte en un nuevo informe compartido con The Hacker News.

La campa�a, apodada CapraTube, fue descrita por primera vez por la empresa de ciberseguridad en septiembre de 2023, con el equipo de piratas inform�ticos empleando aplicaciones de Android convertidas en armas que se hac�an pasar por aplicaciones leg�timas como YouTube para distribuir un software esp�a llamado CapraRAT, una versi�n modificada de AndroRAT con capacidad para capturar una amplia gama de datos confidenciales.

Transparent Tribe, presuntamente de origen pakistan�, ha utilizado CapraRAT durante m�s de dos a�os en ataques dirigidos contra el Gobierno indio y personal militar. El grupo tiene un historial de ataques de spear-phishing y watering hole para distribuir diversos programas esp�a para Windows y Android.

"La actividad destacada en este informe muestra la continuaci�n de esta t�cnica con actualizaciones de los pretextos de ingenier�a social, as� como esfuerzos para maximizar la compatibilidad del spyware con versiones antiguas del sistema operativo Android, al tiempo que se ampl�a la superficie de ataque para incluir versiones modernas de Android", explic� Delamotte.

La lista de nuevos archivos APK maliciosos identificados por SentinelOne es la siguiente:

Crazy Game (com.maeps.crygms.tktols)
Sexy Videos (com.nobra.crygms.tktols)
TikToks (com.maeps.vdosa.tktols)
Armas (com.maeps.vdosa.tktols)

CapraRAT utiliza WebView para lanzar una URL a YouTube o a un sitio de juegos para m�viles llamado CrazyGames[.]com, mientras, en segundo plano, abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; realizar llamadas telef�nicas; hacer capturas de pantalla; o grabar audio y v�deo.

Un cambio notable en el malware es que ya no se solicitan permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS y REQUEST_INSTALL_PACKAGES, lo que sugiere que los actores de la amenaza pretenden utilizarlo como una herramienta de vigilancia m�s que como una puerta trasera.

"Las actualizaciones del c�digo de CapraRAT entre la campa�a de septiembre de 2023 y la actual son m�nimas, pero sugieren que los desarrolladores se centran en hacer la herramienta m�s fiable y estable", afirma Delamotte.

"La decisi�n de pasar a versiones m�s recientes del sistema operativo Android son l�gicas, y probablemente se alinean con el objetivo sostenido del grupo de individuos en el gobierno indio o el espacio militar, que es poco probable que utilicen dispositivos que ejecutan versiones anteriores de Android, como Lollipop que fue lanzado hace 8 a�os."

Fuente: thehackernews