新的CapraRAT安卓恶意软件针对印度政府和军事人员

一个出于政治动机的高级持续威胁（APT）组织扩大了其恶意软件库，在针对印度军事和外交实体的间谍攻击中加入了一个新的远程访问特洛伊木马（RAT）。

Trend Micro称其为CapraRAT，该植入物是一种Android RAT，与另一种Windows恶意软件CrimsonRAT表现出高度的“交叉”，该软件与Earth Karkaddan有关，后者是一个威胁行为体，也被称为APT36、C-Major行动、PROJECTM、Mythic Leopard和透明部落。

APT36存在的第一个具体迹象出现在2016年，当时该组织开始通过针对印度军方和政府人员的带有恶意PDF附件的钓鱼电子邮件传播窃取信息的恶意软件。该组织被认为起源于巴基斯坦，至少从2013年开始运作。

众所周知，该威胁行为人的作案手法是一致的，攻击主要依靠社会工程和基于USB的蠕虫作为切入点。该组织武库中的一个常见元素是一个名为CrimsonRAT的Windows后门，它允许攻击者广泛访问受损系统，尽管最近的活动已经演变为提供ObliqueRAT。

CrimsonRAT被塑造成一个。NET二进制文件，其主要目的是从目标Windows系统中获取和过滤信息，包括屏幕截图、击键和可移动驱动器中的文件，并将其上载到攻击者的命令和控制服务器。

新加入的工具集是另一个通过钓鱼链接部署的定制安卓RAT。CapraRAT伪装成YouTube应用程序，据说是一款名为AndroRAT的开源RAT的改进版，具有多种数据过滤功能，包括获取受害者位置、电话日志和联系信息的能力。

这远远不是黑客组织第一次使用安卓老鼠。2018年5月，名为StealthAgent的安卓间谍软件以巴基斯坦人权捍卫者为目标，拦截电话和消息，窃取照片，追踪他们的下落。

然后在2020，2019冠状病毒疾病的宣传活动，利用军事主题诱饵来删除Af神话Android版本的伪装成色情相关应用程序和AOOGYA Stuu COVID-19追踪应用程序的假版本。

为了减轻此类攻击，建议用户警惕未经请求的电子邮件，避免点击链接或从未知发件人下载电子邮件附件，只安装来自可信来源的应用，并在授予应用请求的权限时谨慎行事。