CapraRAT Spyware Disguised as Popular Apps Threatens Android Users – OfficialSarkar
ट्रांसपेरेंट ट्राइब के नाम से जाना जाने वाला खतरा पैदा करने वाला व्यक्ति, रुचि रखने वाले व्यक्तियों को लक्षित करने के लिए एक सामाजिक इंजीनियरिंग अभियान के भाग के रूप में मैलवेयर युक्त एंड्रॉयड ऐप्स जारी करना जारी रखे हुए है।
सेंटिनलवन के सुरक्षा शोधकर्ता एलेक्स डेलामोटे ने कहा, “ये APK, क्यूरेटेड वीडियो ब्राउज़िंग एप्लीकेशन में स्पाइवेयर एम्बेड करने के समूह के चलन को जारी रखते हैं, जिसमें मोबाइल गेमर्स, हथियारों के शौकीनों और टिकटॉक प्रशंसकों को लक्षित करके एक नया विस्तार किया गया है।” कहा द हैकर न्यूज़ के साथ साझा की गई एक नई रिपोर्ट में यह बात कही गई है।
कैप्राट्यूब नामक इस अभियान की रूपरेखा सबसे पहले सितंबर 2023 में साइबर सुरक्षा कंपनी द्वारा तैयार की गई थी, जिसमें हैकिंग दल हथियारबंद एंड्रॉइड ऐप का इस्तेमाल करके यूट्यूब जैसे वैध ऐप का रूप धारण कर कैप्राआरएटी नामक एक स्पाइवेयर वितरित करेगा, जो एंड्रोआरएटी का संशोधित संस्करण है और जिसमें व्यापक श्रेणी के संवेदनशील डेटा को कैप्चर करने की क्षमता है।
ट्रांसपेरेंट ट्राइब, जिसके बारे में संदेह है कि वह पाकिस्तान से आया है, ने पिछले दो वर्षों से कैप्राआरएटी का इस्तेमाल भारत सरकार और सैन्य कर्मियों को निशाना बनाकर हमले करने में किया है। इस समूह का इतिहास स्पीयर-फिशिंग और वाटरिंग होल हमलों में शामिल होकर विंडोज और एंड्रॉयड स्पाइवेयर की एक किस्म को वितरित करने का रहा है।
डेलमोटे ने बताया, “इस रिपोर्ट में उजागर की गई गतिविधि सामाजिक इंजीनियरिंग के तरीकों में अद्यतन के साथ-साथ एंड्रॉयड ऑपरेटिंग सिस्टम के पुराने संस्करणों के साथ स्पाइवेयर की अनुकूलता को अधिकतम करने के प्रयासों के साथ इस तकनीक की निरंतरता को दर्शाती है, जबकि एंड्रॉयड के आधुनिक संस्करणों को शामिल करने के लिए हमले की सतह का विस्तार किया गया है।”
SentinelOne द्वारा पहचानी गई नई दुर्भावनापूर्ण APK फ़ाइलों की सूची इस प्रकार है –
- क्रेजी गेम (com.maeps.crygms.tktols)
- सेक्सी वीडियो (com.nobra.crygms.tktols)
- टिकटॉक (com.maeps.vdosa.tktols)
- हथियार (com.maeps.vdosa.tktols)
CapraRAT YouTube या CrazyGames नामक मोबाइल गेमिंग साइट के URL को लॉन्च करने के लिए WebView का उपयोग करता है[.]com पर लॉग इन करने की अनुमति देता है, जबकि पृष्ठभूमि में यह स्थानों, एसएमएस संदेशों, संपर्कों और कॉल लॉग तक पहुंचने, फोन कॉल करने, स्क्रीनशॉट लेने या ऑडियो और वीडियो रिकॉर्ड करने के लिए अपनी अनुमतियों का दुरुपयोग करता है।
मैलवेयर में एक उल्लेखनीय परिवर्तन यह है कि अब READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, और REQUEST_INSTALL_PACKAGES जैसी अनुमतियों का अनुरोध नहीं किया जाता है, जिससे पता चलता है कि खतरा पैदा करने वाले लोग इसका उपयोग एक बैकडोर के बजाय निगरानी उपकरण के रूप में करना चाहते हैं।
डेलमोटे ने कहा, “सितंबर 2023 के अभियान और वर्तमान अभियान के बीच कैप्राआरएटी कोड में अपडेट न्यूनतम हैं, लेकिन यह सुझाव देते हैं कि डेवलपर्स उपकरण को अधिक विश्वसनीय और स्थिर बनाने पर ध्यान केंद्रित कर रहे हैं।”
“एंड्रॉइड ऑपरेटिंग सिस्टम के नए संस्करण पर जाने का निर्णय तर्कसंगत है, तथा यह संभवतः समूह द्वारा भारतीय सरकार या सैन्य क्षेत्र में कार्यरत ऐसे व्यक्तियों को लगातार निशाना बनाए जाने के अनुरूप है, जो 8 वर्ष पहले जारी किए गए लॉलीपॉप जैसे पुराने एंड्रॉइड संस्करण वाले डिवाइस का उपयोग करने की संभावना नहीं रखते हैं।”
यह खुलासा ऐसे समय में हुआ है जब प्रोमोन ने स्नोब्लाइंड नामक एक नए प्रकार के एंड्रॉयड बैंकिंग मैलवेयर का खुलासा किया है, जो फजॉर्डफैंटम के समान ही पहचान विधियों को दरकिनार करने और ऑपरेटिंग सिस्टम की एक्सेसिबिलिटी सेवाओं एपीआई का गुप्त तरीके से उपयोग करने का प्रयास करता है।
“स्नोब्लाइंड […] एक सामान्य रीपैकेजिंग हमला करता है लेकिन एक कम ज्ञात तकनीक का उपयोग करता है सेकम्प कंपनी ने कहा, “यह कई छेड़छाड़-रोधी तंत्रों को दरकिनार करने में सक्षम है।” कहा.
“दिलचस्प बात यह है कि फजॉर्डफैंटम और स्नोब्लाइंड दक्षिण-पूर्व एशिया के ऐप्स को निशाना बनाते हैं और शक्तिशाली नई हमले तकनीकों का लाभ उठाते हैं। इससे यह संकेत मिलता है कि उस क्षेत्र में मैलवेयर लेखक बेहद परिष्कृत हो गए हैं।”
डेलमोटे ने कहा, “सितंबर 2023 के अभियान और वर्तमान अभियान के बीच कैप्राआरएटी कोड में अपडेट न्यूनतम हैं, लेकिन यह सुझाव देते हैं कि डेवलपर्स उपकरण को अधिक विश्वसनीय और स्थिर बनाने पर ध्यान केंद्रित कर रहे हैं।”
“एंड्रॉइड ऑपरेटिंग सिस्टम के नए संस्करण पर जाने का निर्णय तर्कसंगत है, तथा यह संभवतः समूह द्वारा भारतीय सरकार या सैन्य क्षेत्र में ऐसे व्यक्तियों को लगातार निशाना बनाए जाने के अनुरूप है, जो 8 वर्ष पहले जारी किए गए लॉलीपॉप जैसे पुराने एंड्रॉइड संस्करणों पर चलने वाले उपकरणों का उपयोग करने की संभावना नहीं रखते हैं।”
यह खुलासा ऐसे समय में हुआ है जब प्रोमोन ने स्नोब्लाइंड नामक एक नए प्रकार के एंड्रॉयड मैलवेयर का खुलासा किया है, जो फजॉर्डफैंटम के समान ही पहचान विधियों को दरकिनार करने और ऑपरेटिंग सिस्टम की एक्सेसिबिलिटी सेवाओं एपीआई का गुप्त तरीके से उपयोग करने का प्रयास करता है।
“स्नोब्लाइंड […] एक सामान्य रीपैकेजिंग हमला करता है लेकिन एक कम ज्ञात तकनीक का उपयोग करता है सेकम्प कंपनी ने कहा, “यह कई छेड़छाड़-रोधी तंत्रों को दरकिनार करने में सक्षम है।” कहा.
“दिलचस्प बात यह है कि फजॉर्डफैंटम और स्नोब्लाइंड दक्षिण-पूर्व एशिया के ऐप्स को निशाना बनाते हैं और शक्तिशाली नई हमले तकनीकों का लाभ उठाते हैं। इससे यह संकेत मिलता है कि उस क्षेत्र में मैलवेयर लेखक बेहद परिष्कृत हो गए हैं।”
Source: TheHackerNews