执行摘要
- SentinelLabs 发现了三个与透明部落的 CapraRAT 移动远程访问木马 (RAT) 链接的 Android 应用程序包 (APK)。
- 这些应用程序模仿 YouTube 的外观,尽管它们的功能不如合法的原生 Android YouTube 应用程序全面。
- CapraRAT 是一种高度侵入性的工具,使攻击者能够控制其感染的 Android 设备上的大部分数据。
背景
透明部落 (Transparent Tribe) 是一个疑似巴基斯坦演员,以印度和巴基斯坦的军事和外交人员为目标,最近又扩展到印度教育领域。自 2018 年以来,报告详细介绍了该组织对现在称为 CapraRAT 的使用情况,CapraRAT 是一个 Android 框架,可将 RAT 功能隐藏在另一个应用程序中。该工具集已用于监视涉及克什米尔争议地区事务的鱼叉式网络钓鱼目标,以及从事与巴基斯坦相关事务的人权活动人士。
透明部落在 Google Play 商店之外分发 Android 应用程序,依靠自营网站和社交工程来吸引用户安装武器化应用程序。2023 年初,该组织分发了伪装成进行间谍软件活动的约会服务的 CapraRAT Android 应用程序。
其中一个新识别的 APK 会访问 Piya Sharma 的 YouTube频道,该频道有多个关于一名女性在不同地点的短片。该 APK 还借用了个人的姓名和肖像。这一主题表明,演员继续使用基于浪漫的社会工程技术来说服目标安装应用程序,而皮亚·夏尔马 (Piya Sharma) 是一个相关角色。
CapraRAT 是一种综合性 RAT,它为参与者提供了按需收集数据并窃取数据的能力。显着的特点包括:
- 使用麦克风、前后摄像头录音
- 收集短信和彩信内容、通话记录
- 发送短信、阻止传入短信
- 发起电话呼叫
- 截取屏幕截图
- 覆盖系统设置,例如 GPS 和网络
- 修改手机文件系统上的文件
应用分析
CapraRAT 作为 Android APK 分发。当趋势科技最初命名该工具时,他们的研究团队指出 CapraRAT 可能松散地基于AndroRAT源代码。
我们对两个以 YouTube 为主题的 CapraRAT APK 进行了静态分析:8beab9e454b5283e892aeca6bca9afb608fa8718
– yt.apk,于 2023 年 7 月上传到 VirusTotal。83412f9d757937f2719ebd7e5f509956ab43c3ce
– YouTube_052647.apk,于 2023 年 8 月上传到 VirusTotal。我们还确定了第三个 APK,名为 Piya Sharma,YouTube 频道角色前面描述过:14110facecceb016c694f04814b5e504dc6cde61
– Piya Sharma.apk,于 2023 年 4 月上传到 VirusTotal
yt 和 YouTube APK 应用程序借用 YouTube 图标,伪装成 YouTube。
该应用程序请求多个权限。YouTube 是伪装应用程序的一个有趣的选择:某些权限(例如麦克风访问权限)对于录音或搜索功能有意义。其他权限(例如发送和查看短信的能力)与预期的应用程序行为不太相关。
当应用程序启动时,MainActivity
的load_web
方法会启动一个 WebView 对象来加载 YouTube 的网站。由于它会在木马 CapraRAT 应用程序的窗口中加载,因此用户体验与 Android 原生 YouTube 应用程序不同,类似于在移动网络浏览器中查看 YouTube 页面。
关键部件
由于 CapraRAT 是一个插入各种 Android 应用程序的框架,因此包含恶意活动的文件通常根据应用程序的不同进行不同的命名和排列。我们分析的 CapraRAT APK 包含以下文件:
姓名 | yt.apk |
配置 | com/media/gallery/service/settings |
版本 | MSK-2023 |
主要的 | com/media/gallery/service/MainActivity |
恶意活动 | com/media/gallery/service/TPSClient |
姓名 | YouTube_052647.apk |
配置 | com/Base/media/service/setting |
版本 | AFU3 |
主要的 | com/Base/media/service/MainActivity |
恶意活动 | com/Base/media/service/TCHPClient |
姓名 | 皮亚·夏尔马.apk |
配置 | com/videos/watchs/share/setting |
版本 | VUH3 |
主要的 | com/videos/watchs/share/MainActivity |
恶意活动 | com/videos/watchs/share/TCPClient |
CapraRAT 的配置文件可互换命名setting
或settings
,保存默认配置信息以及版本控制等元数据。YouTube_052647.apk 和 Piya Sharma.apk 中看到的 CapraRAT 版本语法(分别为A.F.U.3
和)与用于跟踪透明部落的 Windows 工具CrimsonRAT 的V.U.H.3
约定相匹配。然而,正如我们在 CrimsonRAT 中看到的那样,这些版本号与 C2 域之间没有任何实际关系。
得益于创造性的拼写和命名约定,RAT 的配置提供了一致的静态检测机会,以下各项也出现在 2023 年初的样本中:
is_phical 取消 是真实通知 服务器IP 短信监控器 短信地点 版本
MainActivity
负责驱动应用程序的关键功能。此活动通过onCreate
使用Autostarter 的方法设置持久性,Autostarter 是一个开源项目,其代码可让开发人员自动启动 Android 应用程序。该类TPSClient
被初始化为一个名为 的对象mTCPService
;然后,此方法调用 方法serviceRefresh
,该方法按照设置文件变量中指定的时间间隔创建警报timeForAlarm
。在此示例中,值0xea60等于 60,000 毫秒,这意味着警报和持久性启动程序每分钟运行一次。
Extra_Class
RAT 的核心功能与ESET 报告的 2023 年 3 月样本中的活动类似。为简单起见,此后我们称此活动TPSClient
为“活动”。这些文件相当大,反编译为超过10,000行Smali代码。相比之下,3 月份的版本只有大约 8,000 行。
TPSClient
run
包含 CapraRAT 的命令,这些命令是通过一系列将字符串命令映射到相关方法的 switch 语句通过该方法调用的。
其中许多命令已在以前的研究中记录,尽管这些新版本中有一些更改。该hideApp
方法现在检查系统是否运行 Android 版本 9 或更早版本,以及( ) 配置文件mehiden
中的变量是否设置为 False;如果适用,该应用程序将从用户的视图中隐藏。虽然在 CapraRAT 的开发过程中,CapraRAT 和 AndroRAT 之间的相似之处似乎很少,但 AndroRAT 源代码文档指出,该工具在 Android 版本 9 之后变得不稳定,因此操作系统可能存在潜在的变化,导致该方法的行为有所不同,具体取决于操作系统版本。setting
s
TPSClient
有一个方法check_permissions()
不在Extra_Class
. 此方法检查以下一系列 Android 权限,并为每个权限生成一个带有 True 或 False 结果的字符串:
- 读外部存储
- READ_CALL_LOG
- 相机
- 读取联系人
- ACCESS_FINE_LOCATION
- 录制音频
- READ_PHONE_STATE
有趣的是,其他一些旧版本包含此方法,这表明样本可能是针对目标定制的,或者可能是从不同的分支开发的。
C2 和基础设施
在 CapraRAT 的配置文件中,该SERVERIP
变量包含命令和控制 (C2) 服务器地址,该地址可以是域、IP 地址或两者。C2端口为十六进制Big Endian格式;人类可读端口可以通过转换为十进制获得,yt.apk 为端口 14862,YouTube_052647.apk 为端口 18892,Piya Sharma.apk 为端口 10284。
YouTube_052647.apk 使用的域名至少自 2019 年起就与透明部落相关联。有趣的是,该域名是在 ESET 报告概述该组织利用其他 C2 域名的 Android 应用程序的同一周注册的shareboxs[.]net
。ptzbubble[.]shop
两个 YouTube 样本中与 C2 关联的 IP 地址打开了远程桌面协议端口 3389,服务标识为 Windows 远程桌面,表明该组织使用 Windows Server 基础设施来托管 CapraRAT C2 应用程序。Piya Sharma 应用程序的 C2 IP209[.]127.19.241
具有通用名称值 的证书WIN-P9NRMH5G6M8
,这是与透明部落的 CrimsonRAT C2 服务器相关的长期指标。
84[.]46.251.145
–IP 地址托管ptzbubble[.]shop
域 – 显示与 Decoy Dog Pupy RAT DNS 隧道查找相关的历史解析。这些活动之间的任何联系尚不清楚;该 IP 上托管的服务很可能已被该活动感染。根据查询日期,claudfront[.]net
查找是在 CapraRAT 攻击者使用此 IP 地址托管 期间ptzbubble[.]shop
,而查找是allowlisted[.]net
在 2022 年 12 月,这可能是在该攻击者开始使用该 IP 之前。
结论
透明部落是一位演员,有着可靠的习惯。相对较低的操作安全门槛可以快速识别他们的工具。
该组织决定制作一款类似 YouTube 的应用程序,这是该组织利用间谍软件将 Android 应用程序武器化并通过社交媒体分发给目标的已知趋势的新补充。
印度和巴基斯坦地区与外交、军事或活动相关的个人和组织应评估针对该行为者和威胁的防御措施。
防御和预防措施应包括:
- 请勿安装 Google Play 商店之外的 Android 应用程序。
- 警惕社交媒体社区内宣传的新社交媒体应用程序。
- 评估应用程序请求的权限,特别是您不是特别熟悉的应用程序。这些权限是否会让您面临比应用程序潜在好处更大的风险?
- 请勿在您的设备上安装已有应用程序的第三方版本。
妥协指标 (IOC)
文件哈希 – SHA1
14110facecceb016c694f04814b5e504dc6cde61 – Piya Sharma APK
83412f9d757937f2719ebd7e5f509956ab43c3ce – CapraRAT、YouTube_052647.apk
8beab9e454b5283e892ae ca6bca9afb608fa8718 – CapraRAT, yt.apk
C2 网络通信
newsbizshow.net
ptzbubble.shop
shareboxs.net