去年9月资安业者SentinelOne揭露巴基斯坦骇客组织Transparent Tribe的间谍软体攻击行动CapraTube,当时他们发现对方利用伪装成YouTube安装程式的木马CapraRAT,针对安卓用户而来。如今研究人员发现,这些骇客的手法出现显著的变化。
他们近期发现至于Sexy Videos,研究人员指出可能是用来进行爱情骗局的社交工程攻击。
值得留意的是,使用者安装这些App并执行,对方会要求开放多种权限,像是存取GPS定位、管理网路状态、读取及发送简讯、存取联络人、录制声音和萤幕截图、使用相机、拨打电话及检视通话记录等。
但研究人员指出,上述的权限要求,较去年出现的CapraRAT要来得少,不再要求帐号资讯或是安装套件有关权限,他们推测,骇客这么做的目的,是聚焦在如何监控使用者,不再向过往希望打造成全方位的后门程式。
比较特别的是,相较许多恶意程式使用者必须同意开放各式权限才会提供宣称的功能,这次的CapraRAT即使用户拒绝提供权限,仍能照样执行。
此外,他们发现对方针对新版的Android 13、14作业系统进行调整,新版的CapraRAT能在这些作业系统上能正常运作,相较之下,去年的版本则会不断出现相容性警告的对话框,很有可能让使用者起疑而察觉有异。