Исследователи из SentinelLabs сообщили о новой кампании вредоносного ПО, нацеленной на устройства Android, которую запустил политически мотивированный злоумышленник. За этой кампанией стоит группа хакеров, известная как Transparent Tribe, поддерживаемая пакистанским государством. Они представили новый инструмент под названием CapraRAT. Этот троян предназначен для шпионажа за активностью пользователей, с основным акцентом на пользователей в Индии.
Маскировка под популярные приложения
Подобно предыдущим кампаниям Transparent Tribe, CapraRAT маскируется под популярные Android-приложения, такие как TikTok, Forgotten Weapons, приложение «Sexy Videos» и мобильную игру под названием «Crazy Games». Когда пользователи запускают вредоносное ПО, поддельное приложение перенаправляет устройство на сайт или канал YouTube, который выглядит легитимно, чтобы обмануть цели.
Несмотря на классификацию как троян удаленного доступа (RAT), исследователи считают, что CapraRAT используется больше как шпионское ПО и инструмент наблюдения, а не как бэкдор или вредоносное ПО для удаленного управления. Вредоносное ПО способно отслеживать GPS-позиции, читать SMS-сообщения и контакты, управлять сетевыми подключениями и мониторить пользовательский браузинг.
Усовершенствованные методы заражения
Использование поддельных приложений для сокрытия вредоносного ПО является распространенной тактикой для заражения мобильных устройств. Transparent Tribe ранее проводила кампанию с трояном, включающим другое приложение с пикантными видео. Последняя кампания включает использование приложения Sexy Videos, которое запускает YouTube с соответствующим запросом.
Команда SentinelLabs отметила, что авторы вредоносного ПО становятся более опытными и сложными в своих методах кодирования. Приложения из новой кампании работали плавно на последней версии Android, вызывая диалоговое окно предупреждения о совместимости, которое могло бы вызвать подозрения у жертв.
Пользователям рекомендуется загружать программное обеспечение только из доверенных магазинов приложений и быть осторожными с приложениями, которые требуют необычно инвазивных разрешений и доступа к оборудованию.