CapraRAT cilja Android korisnike
Kompanija SentinelLabs je uočila CapraRAT zlonamjerni softver povezan sa naprednom trajnom prijetnjom pod nazivom Transparent Tribe ili APT36 kako koristi nove taktike za ciljanje Android korisnika putem zlonamjernih aplikacija.
CAPRARAT
CapraRAT je višestepeni Android trojanac za daljinski pristup (eng. remote access trojan – RAT) koji se prvi put pojavio oko 2018. godine, prvenstveno korišćen za nadzor nad indijskim vladinim osobljem i aktivistima za ljudska prava. Grupa Transparent Tribe koja stoji iza ovog zlonamjernog softvera se u velikoj mjeri oslanja na taktiku društvenog inženjeringa kao što su spear-phishing elektronske poruke sa zlonamjernim vezama ili napadi vodenih rupa (eng. watering hole attack) kako bi isporučili svoj zlonamjerni softver.
U septembru 2023. godine, sigurnosni istraživači su prijavili kampanju za Android koja je koristila posebno pripremljene Android aplikacije dizajnirane da imitiraju YouTube. Ove aplikacije su bile prikrivene kao ažuriranja za legitimne YouTube aplikacije i širile se putem phishing elektronskih poruka.
Nova CapraRAT kampanja
Najnoviji izvještaji sigurnosnih istraživača otkriva stalne napore CapraRAT zlonamjernog softvera da proširi svoju površinu napada i maksimizira kompatibilnost sa starijim verzijama Android operativnog sistema. Nove zlonamjerne aplikacije koriste WebView za pokretanje internet adrese, bilo YouTube ili CrazyGames[.]com. Ovo tehnika omogućava napadačima da izbjegnu otkrivanje jer ne moraju da distribuiraju stvarnu APK datoteku za svoj korisni teret. Nema naznaka da je legitimna aplikacija pod nazivom Crazy Games zlonamjerna, jer ne zahteva iste dozvole kao CapraRAT.
Odluka da se ciljaju mobilni igrači i ljubitelji oružja je vjerovatno zbog veće vjerovatnoće ovih grupa da preuzimaju aplikacije sa izvora izvan Google Play prodavnice ili klikaju na sumnjive veze. Kada korisnik preuzme i instalira zaraženu aplikaciju, od njega se traži da aplikaciji dodjeli rizične dozvole za pristup lokaciji, SMS porukama, kontaktima i evidencijama poziva, da dobije mogućnost da napravi snimke ekrana ili snimi audio i video obavljajući sve to kasnije bez znanja ili saglasnosti korisnika.
Najznačajnije promjene u najnovijim verzijama CapraRAT zlonamjernog softvera uključuju poboljšanu kompatibilnost sa modernim Android uređajima ažuriranjem njegove kôdne baze da podrži novije verzije operativnog sistema kao što su Oreo (Android 8.0), koji je objavljen 2017. godine, i Nougat (Android 7.x). Prethodne verzije zlonamjernog softvera su se oslanjale na iskorištavanje ranjivosti u starijim verzijama Android operativnog sistema kao što je Lollipop (Android 5.1) za koje je bila manja vjerovatnoća da će ih potencijalne mete koristiti zbog starosti.
Grupa koja stoji iza CapraRAT zlonamjernog softvera je primijećena kako cilja na vojno osoblje, diplomate, vladine zvaničnike i druge mete visoke vrijednosti u Indiji i Pakistanu od najmanje 2016. godine, ali je nedavno proširila svoj fokus na pojedince u obrazovnom sektoru, kao i igrače mobilnih igrača, ljubitelje oružja i korisnici društvenih medija.
TRANSPARENT TRIBE
Transparent Tribe, takođe poznato pod raznim pseudonima kao što su APT36, ProjectM, Mythic Leopard i Earth Karkaddan, je zlonamjerni akter za sajber špijunažu koji se postao zloglasno poznat zbog svog nemilosrdnog ciljanja na sektor odbrane, vlade i obrazovanja Indije. Ova grupa funkcioniše sa pakistanskim jezgrom i pokazuje nevjerovatnu sposobnost da izbjegne otkrivanje prilagođavajući i vektore napada i komplet zlonamjernih alata.
Transparent Tribe se prvi put pojavilo 2016. godine kada se u izvještaju navodi da su kompromitovali lične uređaje pakistanskih aktivista za ljudska prava. Od tada, njihove aktivnosti su pokazale značajno preklapanje sa prethodnim kampanjama, uključujući ponovnu upotrebu kôda i sličnu mrežnu infrastrukturu. Međutim, ova grupa je uporno prilagođavala i razvijala svoje taktike, tehnike i procedure. Uprkos tome što nisu pretjerano sofisticirani u svojim metodama, Transparent Tribe je opasan protivnik zbog svoje upornosti i prilagodljivosti. Oni su pokazali sposobnost da izbjegnu otkrivanje koristeći različite pseudonime i stalno ažurirajući svoj komplet zlonamjernih alata. Njihov primarni fokus ostaje na indijskom sektoru odbrane, što ih čini značajnom prijetnjom nacionalnoj bezbjednosti zemlje.
ZAKLJUČAK
CapraRAT je vrsta špijunskog softvera koji inficira uređaje preko zlonamjernih Android aplikacija (APK). Zlonamjerni softver dobija pristup osjetljivim informacijama na inficiranom uređaju tako što traži rizične dozvole kada se aplikacija prvi put pokrene. Ovo mu omogućava da obavlja različite radnje kao što su krađa podataka, snimanje poziva i poruka, snimanje ekrana, pa čak i kontrola kamere ili mikrofona. Zlonamjerni akteri aktivno ažuriraju CapraRAT zlonamjerni softver od najmanje 2018. godine, međutim funkcionalnost ostaje ista kao u prethodnim verzijama, ali je osnovni kôd ažuriran kako bi bolje odgovarao modernim Android uređajima.
Jedna značajna promjena između starijih i novijih CapraRAT kampanja je kompatibilnost aplikacija. Prethodne verzije su se oslanjale na uređaj sa zastarelom verzijom Android operativnog sistema (Lollipop), koja je objavljena 2015. godine, ali je manje vjerovatno da će ovaj operativni sistem koristiti savremeni uređaji. Nasuprot tome, najnovije CapraRAT APK datoteke sadrže reference na novije Android verzije, posebno Oreo (Android 8.0) i moguće kasnija izdanja. Grupa koja stoji iza ovih kampanja Transparent Tribe poznata je po tome što cilja na vojno i diplomatsko osoblje u Indiji i Pakistanu, kao i na indijski obrazovni sektor.
ZAŠTITA
Kako bi se zaštitili od CapraRAT i sličnog zlonamjernog softvera, neophodno je slijediti najbolje prakse za obezbjeđivanje svog Android uređaja. Evo nekoliko koraka koji se mogu preduzeti:
- Prije instaliranja novih aplikacija, pažljivo pregledati tražene dozvole. Dati samo dozvole koje su neophodne za funkcionalnost aplikacije. Na primjer, aplikaciji koja prikazuje samo video zapise nije potrebna mogućnost slanja SMS poruka ili upućivanja poziva,
- Redovno ažurirati Android operativni sistem i instalirane aplikacije kako bi se osiguralo da su instalirane najnovije bezbjednosne ispravke i funkcije,
- Koristite renomirane prodavnice aplikacija i preuzimati aplikacije samo iz pouzdanih izvora kao što su Google Play prodavnica ili Amazon Appstore. Zlonamjerne aplikacije mogu da se distribuiraju nezvaničnim kanalima, povećavajući rizik od infekcije,
- Instalirati pouzdano bezbjednosno rješenje za mobilne uređaje koje uključuje antivirusnu zaštitu, skeniranje aplikacija i funkcije privatnosti,
- Potrebno je biti oprezan sa prilozima i vezama elektronske pošte, izbjegavajući otvaranje sumnjivih elektronskih poruka ili kliktanje na veze iz nepoznatih izvora, jer one mogu sadržati CapraRAT ili drugi zlonamjerni softver,
- Koristiti virtualnu privatnu mrežu (eng. Virtual Private Network – VPN), jer može da šifruje internet vezu, što otežava napadačima da presretnu podatke. Ovo je posebno važno kada se koriste javne Wi-Fi mreže,
- Omogućiti Google Play Protect funkciju automatskog skeniranja aplikacija koja pomaže u zaštiti Android uređaja od zlonamjernog softvera i potencijalno štetnih aplikacija. Osigurati da je ova funkcija omogućena na uređaju,
- Koristiti jake, jedinstvene lozinke, kao i različite lozinke za svaki nalog da bi se spriječio neovlašteni pristup ako CapraRAT ili sličan zlonamjerni softver uspije da se infiltrira na uređaj,
- Osigurati da se redovno prave rezervne kopije važnih podataka na Android uređaju koristeći usluge skladištenja u oblaku kao što su Google Drive, Microsoft OneDrive ili Dropbox. Ovo će pomoći da se smanji uticaj potencijalne infekcije CapraRAT zlonamjernim softverom,
- Potrebno je biti informisan sa najnovijim vestima o sajber bezbjednosti i obavještajnim podacima o prijetnjama kako bi bili svjesni novih varijanti zlonamjernog softvera koje ciljaju na korisnike Android uređaja. Dobro informisani korisnici mogu preduzeti odgovarajuće mjere da zaštitite svoj uređaj od ovih prijetnji.