One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8529579 |
| Date de publication | 2024-07-02 21:54:47 (vue: 2024-07-03 00:15:32) |
| Titre | Capratube Remix - Transparent Tribe \\'s Android Spyware ciblant les joueurs, les passionnés d'armes CapraTube Remix - Transparent Tribe\\'s Android Spyware Targeting Gamers, Weapons Enthusiasts |
| Texte | #### Géolocations ciblées - Inde ## Instantané Sentinellabs a identifié quatre nouveaux packages Android Caprarat (APK) liés au groupe soupçonné d'état pakistanais, Transparent Tribe (AKA APT 36, Operation C-Major).Ces APK continuent le modèle du groupe d'intégration de logiciels espions dans les applications de navigation vidéo, mais ont introduit de nouveaux thèmes pour cibler les joueurs mobiles, les amateurs d'armes et les utilisateurs de Tiktok.La fonctionnalité de ces APK malveillants est la même;Cependant, le code a été mis à jour pour un meilleur ciblage des appareils Android plus récents. ## Description La tribu transparente (également connue sous le nom d'APT 36) cible principalement le gouvernement indien et le personnel militaire par le biais d'attaques d'ingénierie sociale.Transparent Tribe a précédemment armé les APK, notamment lors d'une campagne de septembre 2023 surnommée ["The Capratube Campaign"] (https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-micmics-youtube-to-hijack-Android-Phones /) où des APK malveillants ont été utilisés pour usurper l'identité de YouTube.Cette dernière campagne poursuit cette technique avec des prétextes d'ingénierie sociale mis à jour, une compatibilité accrue avec les versions plus anciennes du système d'exploitation Android (OS) et le ciblage élargi des versions Android plus récentes. Les nouvelles versions Caprarat utilisent WebView pour lancer des URL sur YouTube ou un site de jeu mobile appelé CrazyGames \ [. \] Com.Les URL sont obscurcies pour éviter la détection, et les applications invitent les utilisateurs à accorder plusieurs autorisations risquées, notamment: l'accès à l'emplacement GPS, lire et envoyer des SMS, lire des contacts, autoriser l'enregistrement audio et d'écran, le stockage de lecture et l'accès en écriture, d'utiliser la caméra etafficher l'historique des appels et passer des appels.Notamment, la nouvelle campagne Caprarat ne demande pas de persissions pour demander des packages d'installation, d'obtenir des comptes ou d'authentifier des comptes.Les analystes de Sentinellabs affirment que cela peut se passer de l'utilisation de Caprarat comme porte dérobée à un outil de surveillance davantage. D'autres modifications significatives de cette variante Caprarat comprennent une compatibilité accrue avec Android Oreo (8.0) et plus, assurant un fonctionnement en douceur sur les appareils Android modernes.Les versions précédentes nécessitaient Android Lollipop (5.1), ce qui est moins compatible avec les appareils actuels. La classe TCHPClient de Caprarat \\ stimule ses capacités malveillantes, collectant et envoyez des données au serveur C2 via des paramètres spécifiés.Le même nom d'hôte et l'adresse IP du serveur C2 est utilisé, lié aux activités précédentes de Transparent Tribe \\. Selon Sentinelabs, les mises à jour minimales du code Caprarat suggèrent l'accent mis sur la fiabilité et la stabilité et s'alignent sur le ciblage cohérent du groupe et l'armée indien par le groupe, qui est peu susceptible d'utiliser des versions obsolètes d'Android et peut être attirée par lesDe nouveaux thèmes APK, tels que les jeux mobiles et les armes. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de menace comme le folMALWODIQUE-LA LABILAGE: * [Trojan: Androidos / Androrat] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-desCription? Name = Trojan: Androidos / Androrat.A! Rfn & menaceID = -2147198280) * ## Recommandations ** Recommandations de Sentinelabs ** Sentinellabs note que les individus peuvent empêcher les compromis par Caprarat et d'autres malwares similaires en évaluant toujours les autorisations demandées par une application pour déterminer si elles sont nécessaires à la fonction prévue de l'application.Sentinellabs note que les individus peuvent empêcher les compromis par Caprarat et d'autres ma |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | #### **microsoft **sentinellabs 2023 2024 2147198280 365 365/security/defender above access accessed according accounts activities activity address age align aligned all allow also always analysts android antivirus apk apks app application applications apps apt apt36 are arsenal assert assets associated attack attacker attackers attacks attracted audio authenticate avoid backdoor based been better block blocks browsers browsing but call called calls camera campaign can capabilities caprarat capratube changes child class cloud code collecting com com/blogs/security com/en com/labs/capratube com/microsoft com/windows/security/threat common communication compatibility compatible components compromise consistent contacts contain content continue continues cover crazygames creating criterion current customers data defender delivered description detection detections/hunting detects determine devices does drives dubbed during edge embedding encourage encyclopedia endpoint/attack endpoint/configure engineering ensuring enthusiasts enthusiasts/ equivalent evaluating evolving executable expanded exploits facing files first focus following four from function functionality gamers gaming geolocations get government gps grant group harden has have hijack history host hostname however https://learn https://www identified identifies identify impact impersonate include including including: increased indcate india indian individuals injecting install intended internet introduced its known latest launch learndoc learndoc#block learning less lightning linked list location lollipop machine major majority make malicious malware malware: malwares may meet microsoft might military mimics minimal mitigations mobile modern more name=trojan:androidos/androrat necessary network new newer not notably notes obfuscated ocid=magicti office older on operating operation operations oreo other outdated overview packages pakistan pattern peek perimeter permissions persmissions personnel phishing phones/ pinstripe pretexts prevalence prevent previous previously primarily processes product prompt protection protection/microsoft protections queries rapidly read recommendations recommendations** recommends recording reduce reduction reference references reliability remix request requested required research/peek rfn&threatid= risky rules running same same; scam screen secure send sending sentinellabs sentinelone september server settings several shift sight significant similar site sites smartscreen smartscreen/microsoft smooth sms snapshot social specified spyware stability state storage such suggest support surface surveillance suspected system systems target targeted targeting targets tchpclient technique techniques techniques: themes these threat through tiktok tool tools transparent tribe tribes trojan:androidos/androrat trusted turn unknown unless unlikely updated updates urls us/wdsi/threats/malware use used users using variant variants versions video view weaponized weapons web websites webview where which who write your youtube zscaler in sentinellabs to |
| Tags | Malware Tool Threat Mobile |
| Stories | APT 36 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.