Nel panorama delle minacce informatiche, torna a far parlare di sé CapraRAT uno spyware Android. Questo malware, identificato come un trojan di accesso remoto (RAT), è stato scoperto da SentinelLabs e si rivolge principalmente a giocatori di videogiochi mobili e appassionati di armi attraverso applicazioni Android malevole.
Origini e sviluppo
CapraRAT è stato utilizzato per la prima volta da un attore di minaccia collegato al Pakistan, noto come Transparent Tribe o APT36, emerso intorno al 2018. Inizialmente distribuito tramite false app di incontri e tattiche di ingegneria sociale, il gruppo ha ampliato il suo approccio includendo applicazioni che imitano YouTube, sfruttando queste false app per eseguire attività di raccolta dati e spyware sui dispositivi infetti.
Modalità di attacco
Le nuove varianti CapraRAT (aggiornate per essere compatibili con le versioni più recenti del SO Android) si nascondono all’interno di applicazioni di navigazione video, utilizzando WebView per lanciare URL che sembrano legittimamente appartenenti a YouTube o CrazyGames[.]com. Queste app richiedono autorizzazioni estese, inclusi l’accesso alla posizione GPS e ai contatti, e la capacità di registrare audio e video e leggere e ricevere SMS consentendo allo spyware di raccogliere e trasferire dati sensibili dal dispositivo della vittima.
Crazy Game (com.maeps.crygms.tktols)
Sexy Videos (com.nobra.crygms.tktols)
TikToks (com.maeps.vdosa.tktols)
Weapons (com.maeps.vdosa.tktols)
“A differenza della precedente campagna CapraRAT, le seguenti autorizzazioni Android non vengono più richieste o utilizzate:
- READ_INSTALL_SESSIONS
- OTTIENI_ACCOUNT
- AUTENTICAZIONE_ACCOUNT
- RICHIESTA_PACCHETTI_DI_INSTALLAZIONE
La riduzione delle autorizzazioni suggerisce che gli sviluppatori dell’app sono concentrati sul rendere CapraRAT uno strumento di sorveglianza più che una backdoor con tutte le funzionalità“, afferma Delamotte nel rapporto.
Una volta in esecuzione lo spyware raccoglie i dati e li invia attivando un socket (indirizzo IP, numero Porta TCP 18582) per instaurare una comunicazione con il proprio server C2.
Prevenzione e sicurezza
Per evitare CapraRAT e altri download malevoli, agli utenti viene consigliato di essere cauti quando scaricano app da fonti non ufficiali e di esaminare attentamente i permessi richiesti da qualsiasi app.
“Ad esempio,“, conclude Delamotte, “un’app che visualizza solo video di TikTok non ha bisogno della possibilità di inviare messaggi SMS, effettuare chiamate o registrare lo schermo“.
Assicurarsi che le app vengano scaricate da fonti affidabili, come il Google Play Store, può aiutare a mitigare il rischio di installare software dannoso. La minaccia CapraRAT evidenzia l’importanza di rimanere vigili e informati sulle potenziali minacce alla sicurezza dei dispositivi mobili. Con l’evoluzione costante delle tattiche degli attori di minaccia, è fondamentale adottare misure preventive e pratiche di sicurezza per proteggere i propri dati personali e di conseguenza la propria privacy.
