تم ربط مجموعة التهديد المستمر المتقدم (APT) المشتبه بها في انحيازها لباكستان والتي تُعرف باسم Transparent Tribe بحملة تجسس إلكترونية مستمرة، والتي تستهدف مستخدمي Android الهنود والباكستانيين، وذلك باستخدام backdoor يسمى CapraRAT.
صرّحت شركة Transparent Tribe في تقرير مُشاركتها مع "The Hacker News" بأنها قامت بتوزيع باب خلفي لنظام Android المعروف باسم CapraRAT، من خلال تطبيقات المراسلة الآمنة MeetsApp و MeetUp التي تحمل علامة الشركة المذكورة.
تشير التقديرات إلى أن ما يصل إلى 150 ضحية، قد تم استهدافهم وهم يحملون ميول عسكرية أو سياسية. وقد تم توفير برامج ضارة باسم حزمة APK com.meetup.chat للتنزيل من مواقع الويب المزيفة التي تتنكر كمراكز توزيع هذه التطبيقات الرسمية.
يشتبه في أنه يتم استدراج الأهداف من خلال الاحتيال الرومانسي، حيث يقوم المهاجم بالتواصل مع الضحايا عبر منصة أخرى ويُقنعَهُم بتثبيت تطبيقات تحوي برامجًا ضارة باسم رسائل ومكالمات آمنة.
ومع ذلك ، فإن التطبيقات ، إلى جانب توفير الوظائف الموعودة ، تأتي مزروعة بـ CapraRAT ، وهو نسخة معدلة من AndroRAT مفتوح المصدر تم توثيقه لأول مرة بواسطة Trend Micro في فبراير 2022 والذي يظهر تداخلًا مع برنامج Windows ضار معروف باسم CrimsonRAT .
يحتوي backdoor على مجموعة واسعة من المزايا التي تسمح له بالتقاط صور للشاشة والصور، تسجيل المكالمات الهاتفية والصوت المحيط، سحب المعلومات الحساسة، إضافة إلى إجراء مكالمات هاتفية وإرسال رسائل SMS، وتنزيل الملفات.
بعدما أدلى برأيي، يُطلب من المستخدمين إنشاء حساب عن طريق ربط أرقام هواتفهم، وإكمال خطوة التحقق عبر الرسائل القصيرة للوصول إلى وظائف التطبيق.
أفادت شركة الأمن السيبراني السلوفاكية بأن الحملة قد تم التركيز عليها بشكل ضيق، وأنه لم يتم العثور على أي دليل يشير إلى توافر التطبيقات في متجر جوجل بلاي.
تعرف القبيلة الشفافة بالإضافة إلى أسمائها APT36 وعملية C-Major وMythic Leopard، مؤخراً نُسِبَتْ لهذه المجموعة من هجمات تستهدف المنظمات الحكومية في الهند، بإصدارات ضارة لحل مصادقة ثنائي يُعرف باسم Kavach.
وصلت النتائج بعد أسابيع من إعلان شركة الأمن السيبراني ThreatMon عن حملة تصيد بالرمح التي تقودها الجهات الفاعلة في SideCopy، والتي تستهدف الكيانات الحكومية الهندية بهدف نشر نسخة جديدة من الباب الخلفي المعروف باسم ReverseRAT.