SentinelLabs, la division de recherche de SentinelOne, a découvert quatre nouvelles versions du malware CapraRAT. Ce cheval de Troie est capable de prendre le contrôle d’un smartphone à distance grâce à son module RAT (Remote Access Trojan). Il s’agit d’une version modifiée d’AndroRAT, un malware né en 2012.
Comme l’indique le rapport, ces quatre versions du malware se cachent dans le code de fichiers APK partagés sur la toile, qui portent les noms de Crazy Game, Sexy Videos, TikToks et Weapons. Les cybercriminels visent visiblement les internautes qui disposent d’un compte TikTok ou les amateurs de jeux vidéo. D’après les chercheurs, ces nouvelles itérations de CapraRAT s’inscrivent dans le cadre de la campagne CapraTube, déjà identifiée en septembre 2023. Les enquêteurs avaient en effet découvert le malware dans le code de plusieurs versions factices de YouTube.
À lire aussi : Ce malware Android a une nouvelle tactique pour piller vos données personnelles
Comment CapraRAT pille vos données
Une fois infiltré sur le téléphone de ses cibles, CapraRAT va faire diversion en ouvrant une vidéo sur YouTube ou en lançant un site de jeu mobile. Pour ça, il s’appuie sur WebView, le composant logiciel d’Android qui permet d’afficher du contenu web directement à l’intérieur d’une application. De nombreux virus détournent cette fonction d’Android. C’est aussi le cas du malware Xenomorph.
« L’application TikTok lance YouTube avec la requête “Tik Toks”, et l’application Weapons lance la chaîne YouTube Forgotten Weapons, qui passe en revue une variété d’armes classiques et compte 2,7 millions d’abonnés », explique Alex Delamotte, chercheur en sécurité de SentinelOne.
Tandis que l’utilisateur est distrait, il va s’octroyer des autorisations pour accéder à la localisation du smartphone, aux SMS, aux contacts et aux journaux d’appels. Par ailleurs, le virus va pouvoir passer des appels téléphoniques, prendre des captures d’écran ou enregistrer des vidéos ou des fichiers audio. Toutes ces fonctionnalités permettent à CapraRAT d’espionner ses victimes.
Un malware qui évolue
SentinelLabs explique avoir remarqué « des efforts pour maximiser la compatibilité du logiciel espion avec les anciennes versions du système d’exploitation Android tout en élargissant la surface d’attaque pour inclure les versions modernes d’Android ». En clair, le virus cherche à toucher de plus en plus de smartphones en s’adaptant aux mises à jour récentes de l’OS.
Les chercheurs ajoutent que CapraRAT est désormais conçu comme « un outil de surveillance » complet, plutôt que comme une simple porte dérobée. La campagne cible principalement les membres « du gouvernement indien ou du monde militaire ».
Derrière la cyberattaque, on trouve Transparent Tribe, un gang également connu sous le nom d’APT36. Actif depuis 2016, le groupe est financé par les services militaires du Pakistan. Il vise surtout des entités gouvernementales et militaires, essentiellement en Inde. Avec CapraRAT, le gang ajoute une nouvelle arme redoutable à un arsenal déjà constitué de malwares comme CrimsonRAT ou ObliqueRAT.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : SentinelLabs
