CapraRAT, lo spyware Android si aggiorna

Nel panorama delle minacce informatiche, torna a far parlare di sé CapraRAT uno spyware Android. Questo malware, identificato come un trojan di accesso remoto (RAT), è stato scoperto da SentinelLabs e si rivolge principalmente a giocatori di videogiochi mobili e appassionati di armi attraverso applicazioni Android malevole.

Origini e sviluppo

CapraRAT è stato utilizzato per la prima volta da un attore di minaccia collegato al Pakistan, noto come Transparent Tribe o APT36, emerso intorno al 2018. Inizialmente distribuito tramite false app di incontri e tattiche di ingegneria sociale, il gruppo ha ampliato il suo approccio includendo applicazioni che imitano YouTube, sfruttando queste false app per eseguire attività di raccolta dati e spyware sui dispositivi infetti.

Modalità di attacco

Le nuove varianti CapraRAT (aggiornate per essere compatibili con le versioni più recenti del SO Android) si nascondono all’interno di applicazioni di navigazione video, utilizzando WebView per lanciare URL che sembrano legittimamente appartenenti a YouTube o CrazyGames[.]com. Queste app richiedono autorizzazioni estese, inclusi l’accesso alla posizione GPS e ai contatti, e la capacità di registrare audio e video e leggere e ricevere SMS consentendo allo spyware di raccogliere e trasferire dati sensibili dal dispositivo della vittima.

Fonte SentinelLabs
Crazy Game (com.maeps.crygms.tktols)
Sexy Videos (com.nobra.crygms.tktols)
TikToks (com.maeps.vdosa.tktols)
Weapons (com.maeps.vdosa.tktols)

A differenza della precedente campagna CapraRAT, le seguenti autorizzazioni Android non vengono più richieste o utilizzate:

  • READ_INSTALL_SESSIONS
  • OTTIENI_ACCOUNT
  • AUTENTICAZIONE_ACCOUNT
  • RICHIESTA_PACCHETTI_DI_INSTALLAZIONE

La riduzione delle autorizzazioni suggerisce che gli sviluppatori dell’app sono concentrati sul rendere CapraRAT uno strumento di sorveglianza più che una backdoor con tutte le funzionalità“, afferma Delamotte nel rapporto.

Una volta in esecuzione lo spyware raccoglie i dati e li invia attivando un socket (indirizzo IP, numero Porta TCP 18582) per instaurare una comunicazione con il proprio server C2.

Prevenzione e sicurezza

Per evitare CapraRAT e altri download malevoli, agli utenti viene consigliato di essere cauti quando scaricano app da fonti non ufficiali e di esaminare attentamente i permessi richiesti da qualsiasi app.

Ad esempio,“, conclude Delamotte, “un’app che visualizza solo video di TikTok non ha bisogno della possibilità di inviare messaggi SMS, effettuare chiamate o registrare lo schermo“.

Assicurarsi che le app vengano scaricate da fonti affidabili, come il Google Play Store, può aiutare a mitigare il rischio di installare software dannoso. La minaccia CapraRAT evidenzia l’importanza di rimanere vigili e informati sulle potenziali minacce alla sicurezza dei dispositivi mobili. Con l’evoluzione costante delle tattiche degli attori di minaccia, è fondamentale adottare misure preventive e pratiche di sicurezza per proteggere i propri dati personali e di conseguenza la propria privacy.

Su Salvatore Lombardo 258 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.