The Transparent Tribe Vibe: APT36 retorna com CapraRat se passando por Viber

Há alguns anos, observamos que o APT36 prefere usar o hospedagem e DNS serviços fornecidos pela Contabo, um grande provedor de hospedagem VPS. Há quase um ano, a S1 lançou um notícia no APT36 tentando entregar Rato Capra para suas vítimas. O CapraRAT é conhecido por ser uma versão modificada do AndroRAT de código aberto.

Além dos usuários do Android, o APT36 teve RAT vermelho em seu arsenal há muito tempo, para atingir usuários do Windows. Usando essas informações, executamos uma consulta do Censys para descobrir qualquer infraestrutura CrimsonRAT usando os serviços de hospedagem/DNS da Contabo.

Para validar se isso pertence ao APT36, verificamos o virustotal em busca de sobreposições com os HTTPS do Transparent Tribe.

‍

Nosso primeiro IP foi marcado como Crimson RAT C2 no Virustotal. É importante observar que esse ASN (40021) foi frequentemente usado pelo APT36 no passado para conduzir operações de malware.

Passando para o segundo IP:

‍

Este tem detecções comparativamente menores na natureza.

‍

Ao verificar os arquivos de comunicação, notamos que alguns APKs maliciosos estão se comunicando com o IP. O Virustotal confirmou rapidamente que essas eram cargas úteis do CapraRAT.

Descobriu que 2 dos 3 APKs maliciosos do Android tinham o nome do pacote “com.moves.media.tubes”

‍

O mesmo nome do pacote foi mencionado nas campanhas da Tribo Transparente de 2023. Fonte

Descobrimos que a terceira amostra (md5:f73f1a694d2a5c7e6d04fbc866a916bd) representa um aplicativo popular de VoIP e IM conhecido como Viber.

‍

Permissões de alto risco:

• android.permission.process_outgoing_calls - Controle/redirecionamento de chamadas
• android.permission.RECORD_AUDIO - Gravação de áudio
• android.permission.READ_SMS - Leia mensagens de texto
• android.permission.receive_SMS - Interceptar SMS recebidos
• android.permission.CAMERA - Acesso à câmera
• android.permission.READ_CONTACTS - Acesso aos dados de contato
• android.permission.READ_CALL_LOG - Acesso ao histórico de chamadas

Rastreamento de localização:

• android.permission.ACCESS_FINE_LOCATION - Localização GPS precisa
• android.permission.ACCESS_COARSE_LOCATION - Localização aproximada

Acesso ao dispositivo:

• android.permission.READ_PHONE_STATE - Informações sobre o estado do telefone/dispositivo
• android.permission.AUTHENTICATE_ACCOUNTS - Gerenciamento de contas
• android.permission.WRITE_EXTERNAL_STORAGE - Acesso de gravação ao armazenamento
• android.permission.internet - Acesso à rede

‍

Modelo de diamante

‍

Método de entrega

O APT36, também conhecido como Transparent Tribe, emprega táticas de engenharia social para distribuir seus Trojans de acesso remoto (RATs) para Android. Essas iscas são criadas para se alinharem com o tema do disfarce do RAT.

‍

‍

‍Impacto

• Vigilância específica: As vítimas que instalam o falso APK do Viber são expostas a amplos recursos de espionagem, incluindo acesso ao microfone, rastreamento de localização e interceptação de mensagens.
• Risco de roubo de credenciais: O malware pode coletar dados confidenciais do usuário, incluindo potencialmente credenciais de login, mensagens pessoais e listas de contatos.
• Abuso de infraestrutura: O uso contínuo de provedores de VPS comuns, como o Contabo, permite que os invasores criem rapidamente uma nova infraestrutura maliciosa, complicando os esforços de remoção.
• Erosão da confiança na marca: A personificação de aplicativos confiáveis como o Viber prejudica a confiança do usuário em plataformas de comunicação legítimas.

‍

Mitigações

• Verificação da fonte do aplicativo: incentive os usuários a instalar aplicativos somente de fontes confiáveis, como a Google Play Store, e evite baixar APKs de sites desconhecidos.
• Detecção de ameaças móveis: implante soluções móveis de defesa contra ameaças (MTD) que possam detectar comportamentos de spyware, incluindo o uso incomum de permissões ou padrões de comunicação de rede.
• Campanhas de conscientização do usuário: eduque os usuários sobre ameaças de falsificação de identidade, especialmente em aplicativos de mensagens, e como reconhecer solicitações suspeitas de instalação ou comportamento de aplicativos.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia

^#Protocolo de semáforo - Wikipedia

‍