CapraRAT : quatre nouvelles versions d’un malware redoutable menacent les smartphones android
Quatre nouvelles versions du redoutable CapraRAT, un malware capable de prendre le contrôle total des smartphones Android, rôdent sur Internet. Considéré comme un outil de surveillance, ce virus est exploité par un gang de cybercriminels financés par un gouvernement étranger.
SentinelLabs, la division de recherche de SentinelOne, a récemment découvert ces quatre nouvelles versions du malware CapraRAT. Ce cheval de Troie est capable de prendre le contrôle d’un smartphone à distance grâce à son module RAT (Remote Access Trojan). Il s’agit d’une version modifiée d’AndroRAT, un malware né en 2012.
Selon le rapport de SentinelLabs, les quatre versions du programme malveillant se cachent dans le code de fichiers APK partagés sur Internet, nommés Crazy Game, Sexy Videos, TikTok et Weapons. Les cybercriminels ciblent particulièrement les internautes disposant d’un compte TikTok ou les amateurs de jeux vidéo. D’après les chercheurs, ces nouvelles itérations de CapraRAT s’inscrivent dans le cadre de la campagne CapraTube, déjà identifiée en septembre 2023. À cette époque, les enquêteurs avaient découvert le malware dans le code de plusieurs versions factices de YouTube.
Fonctionnement du CapraRAT
Une fois infiltré sur le téléphone de ses cibles, CapraRAT fait diversion en ouvrant une vidéo sur YouTube ou en lançant un site de jeu mobile. Pour cela, il s’appuie sur WebView, le composant logiciel d’Android qui permet d’afficher du contenu web directement à l’intérieur d’une application. De nombreux virus détournent cette fonction d’Android, comme le malware Xenomorph.
« L’application TikTok lance YouTube avec la requête “Tik Toks”, et l’application Weapons lance la chaîne YouTube Forgotten Weapons, qui passe en revue une variété d’armes classiques et compte 2,7 millions d’abonnés », explique Alex Delamotte, chercheur en sécurité de SentinelOne.
Tandis que l’utilisateur est distrait, CapraRAT s’octroie des autorisations pour accéder à la localisation du smartphone, aux SMS, aux contacts et aux journaux d’appels. Par ailleurs, le virus peut passer des appels téléphoniques, prendre des captures d’écran, enregistrer des vidéos ou des fichiers audio. Toutes ces fonctionnalités permettent à CapraRAT d’espionner ses victimes de manière efficace.
Évolution du logiciel malveillant
SentinelLabs note que CapraRAT évolue pour maximiser sa compatibilité avec les anciennes versions du système d’exploitation Android tout en élargissant sa surface d’attaque pour inclure les versions modernes d’Android. En clair, le virus cherche à toucher de plus en plus de smartphones en s’adaptant aux mises à jour récentes de l’OS. Les chercheurs ajoutent que CapraRAT est désormais conçu comme « un outil de surveillance » complet, plutôt que comme une simple porte dérobée. La campagne cible principalement les membres « du gouvernement indien ou du monde militaire ».
Les responsables derrière CapraRAT
Derrière cette cyberattaque se trouve Transparent Tribe, un gang également connu sous le nom d’APT36. Actif depuis 2016, ce groupe est financé par les services militaires du Pakistan et vise essentiellement des entités gouvernementales et militaires en Inde. Avec CapraRAT, Transparent Tribe ajoute une nouvelle arme redoutable à un arsenal déjà constitué de malwares comme CrimsonRAT ou ObliqueRAT.
Source : 01Net