CapraRAT 恶意软件针对 Android 用户的仿冒应用

透明部落推出新型Android恶意软件攻击活动

关键要点

一名政治动机驱动的威胁行为者最近启动了一项新的恶意软件活动，目标直指Android设备。

根据SentinelLabs研究人员，一个由巴基斯坦国家支持的黑客团队，名为透明部落，推出了一款名为CapraRAT的工具。该木马旨在监视用户活动，印度用户是其主要攻击目标。

与透明部落以往的攻击活动一样，CapraRAT伪装成多款受欢迎的Android应用程序。在本次活动中，TikTok、Forgotten Weapons以及一款名为“性感视频”的应用均被用作诱饵，还有一款名为“疯狂游戏”的手机游戏也是其中之一。

当目标用户启动恶意软件时，假冒应用会将设备重定向到相关网站或YouTube频道，以使目标认为自己正在使用一个合法的应用程序。

与此同时，恶意软件本身能够执行多项隐秘功能，包括跟踪GPS位置、读取用户短信及联系人、管理网络连接，以及追踪用户的浏览行为。

尽管该恶意软件被视为远程访问木马RAT，研究人员表示，他们认为CapraRAT更可能被用作隐秘间谍软件和监视工具，而非后门或远程控制恶意软件。

利用假冒应用程序伪装恶意软件长期以来一直是感染移动设备的流行方法。透明部落曾经进行过另一个以性感视频应用为中心的木马攻击活动。

“此次新活动延续了这一趋势，利用“性感视频”应用进行攻击。”SentinelLabs团队指出。

“虽然之前报告的两个应用只启动YouTube而没有特定查询，而本次活动中的YouTube应用则预加载了与应用主题相关的查询。”

SentinelLabs团队还注意到，恶意软件编写者似乎在编码实践中变得更加成熟和复杂。

“此次活动的应用在现代Android版本上运行流畅。”研究人员解释道。

“在2023年9月的活动中，应用会提示兼容性警告对话框，这可能引起受害者对应用不正常的怀疑。”

用户被建议从可信的应用商店获取软件，并对任何请求异常侵入性权限和硬件访问的应用保持警惕。