capratube-campaign-2023

# CapraTube Campaign 2023 > [!high] Spyware Android disfarado de YouTube para espionar militares e diplomaticos > Em setembro de 2023, o grupo Transparent Tribe (APT36) lancou APKs Android maliciosos que imitavam o YouTube para instalar o CapraRAT em dispositivos de alvos militares e diplomaticos indianos. A campanha continuou evoluindo em 2024, expandindo para gamers, entusiastas de armas e usuarios de TikTok. ## Visão Geral A campanha CapraTube representa a mais recente iteracao da estratégia de longa data do [[g0134-transparent-tribe]] (também conhecido como APT36 ou Operation C-Major) de distribuir spyware Android disfarado de aplicativos legitimos. O [[g0134-transparent-tribe]] e um grupo de ameaça persistente avancada com suspeita de origem paquistanesa, ativo desde pelo menos 2016, com historico consistente de espionagem contra pessoal militar e diplomatico indiano, ativistas de direitos humanos envolvidos com questoes do Caxemira e academia. A inovacao da campanha CapraTube foi usar o YouTube como persona de camuflagem: os APKs maliciosos abriam um WebView exibindo o YouTube real, enquanto em segundo plano coletavam dados extensivos do dispositivo. A escolha do YouTube como isca e estratégica - justifica naturalmente permissoes como microfone (pesquisa de voz) e armazenamento (downloads), tornando o pedido de permissoes menos suspeito para usuarios menos alertas. O [[caprarat]] e um framework RAT Android altamente invasivo, possívelmente baseado no código-fonte público do AndroRAT, que o [[g0134-transparent-tribe]] adaptou e manteve ativamente desde 2018. A campanha demonstra como grupos de espionagem com orcamentos moderados conseguem manter operações persistentes de coleta de inteligência usando ferramentas Android relativamente simples mas eficazes. ## Como a Campanha Funcionou ```mermaid graph TB A["Engenharia social - romance ou interesse comum Distribuido fora da Play Store via sites proprios"] --> B["Usuario instala APK - yt.apk ou YouTube_052647.apk ou Piya Sharma.apk"] B --> C["App abre WebView do YouTube real Usuario nao percebe anomalia"] C --> D["CapraRAT executa em segundo plano Solicita permissoes excessivas"] D --> E["Coleta continua de dados SMS, chamadas, localização, fotos, audio"] E --> F["Exfiltração para C2 Dados enviados ao servidor do operador"] ``` **Pretextos utilizados:** - **Piya Sharma APK** - Persona de romance/dating, usando imagem e nome de mulher real de um canal do YouTube - **yt.apk e YouTube_052647.apk** - Imitacao direta do YouTube, sem pretext específico - **2024 (Remix):** Crazy Games, TikTok, Armas (canal Forgotten Weapons) - expandindo alvos para gamers e entusiastas ## Capacidades do CapraRAT O [[caprarat]] e um RAT Android completo com capacidades extensas de espionagem: | Capacidade | Detalhe | |---|---| | Audio | Gravacao via microfone (frente e traseiro) | | Video | Captura via cameras frontal e traseira | | SMS | Coleta e envio de mensagens de texto | | Chamadas | Acesso a registro de chamadas, inicio de ligacoes | | Localização | GPS em tempo real via rede e GPS | | Sistema | Override de configuracoes do sistema (GPS, rede) | | Arquivos | Modificacao do sistema de arquivos | | Screenshots | Captura de tela sob demanda | | Bloqueio de SMS | Impedir recebimento de mensagens específicas | **Evolução técnica (2023-2024):** - Migracao de Android 5.1 (Lollipop) para suporte a Android 8.0+ (Oreo) para maior compatibilidade com dispositivos modernos - Reducao de permissoes (remoção de READ_INSTALL_SESSIONS, GET_ACCOUNTS) indicando foco em ferramenta de surveillance vs. backdoor completo - Maior estabilidade e confiabilidade do framework C2 ## TTPs Mapeadas | Fase | Técnica ATT&CK Mobile | Detalhe | |---|---|---| | Initial Access | T1476 - Deliver Malicious App | APKs distribuidos fora da Play Store via sites/redes sociais | | Initial Access | T1444 - Masquerade as Legitimaté App | Icone e interface do YouTube, mas APK malicioso | | Collection | T1512 - Video Capture | Gravacao via cameras do dispositivo | | Collection | T1429 - Audio Capture | Gravacao via microfone | | Collection | T1636 - Contact List | Acesso a contatos do dispositivo | | Collection | T1430 - Location Tracking | GPS continuo | | Collection | T1517 - Access Notifications | Acesso a notificacoes do sistema | | Exfiltration | T1437 - App Layer Protocol | Exfiltração via protocolo proprietario ao C2 | ## Contexto Geopolitico A campanha CapraTube se insere no contexto da riválidade entre India e Paquistao, especialmente em torno da disputa territorial do Caxemira. O [[g0134-transparent-tribe]] tem como alvos preferênciais: - Pessoal militar indiano e de defesa - Diplomaticos e funcionarios governamentais indianos - Ativistas de direitos humanos vinculados a questoes do Caxemira - Estudantes e academicos em instituicoes indianas A aparente baixa sofisticacao operacional do grupo (identificado rapidamente por pesquisadores devido a reuso de infraestrutura e padroes de código) sugere que opera sem grandes recursos, mas manteve operações por mais de 8 anos, indicando suporte continuado. ## Detecao e Defesa **Para usuarios individuais:** - Instalar aplicativos **apenas** da Google Play Store oficial - Verificar permissoes solicitadas - o YouTube real NAO precisa de SMS ou acesso a chamadas - Desconfiar de versoes de apps enviadas por mensagens ou redes sociais - Usar solução de segurança mobile com detecção de spyware **Para organizacoes (defesa, governo, diplomatico):** - Politica de MDM (Mobile Device Management) para dispositivos corporativos - Blocklist de APKs nao autorizados - Monitoramento de trafego de rede dos dispositivos gerenciados - Treinamento específico sobre riscos de apps fora da Play Store **IOCs públicos:** - SHA-1: `8beab9e454b5283e892aeca6bca9afb608fa8718` (yt.apk) - SHA-1: `83412f9d757937f2719ebd7e5f509956ab43c3ce` (YouTube_052647.apk) - SHA-1: `14110facecceb016c694f04814b5e504dc6cde61` (Piya Sharma.apk) ## Referências - [1](https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/) SentinelOne Labs - CapraTube: Transparent Tribe CapraRAT Mimics YouTube (2023) - [2](https://www.sentinelone.com/labs/capratube-remix-transparent-tribes-android-spyware-targeting-gamers-weapons-enthusiasts/) SentinelOne Labs - CapraTube Remix: Android Spyware Targeting Gamers (2024) - [3](https://thehackernews.com/2024/07/caprarat-spyware-disguised-as-popular.html) The Hacker News - CapraRAT Spyware Disguised as Popular Apps (2024) - [4](https://hackread.com/android-spyware-steals-gamers-tiktok-users-data/) HackRead - Android Spyware Steals Gamers/TikTok Users Data (2024)