# CapraRAT > Tipo: **RAT Android** - [SentinelOne](https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube/) > [!info] RAT Android do APT36 - Espionagem via Engenharia Social Romantica > O CapraRAT e um Remote Access Trojan para Android desenvolvido e usado pelo grupo [[g0134-transparent-tribe|Transparent Tribe]] (APT36), ator de ameaça alinhado ao Paquistao com foco em alvos militares e governamentais indianos. O CapraRAT e baseado no AndroRAT e distribuido via engenharia social romantica (honey-trap), onde vitimas sao seduzidas por perfis falsos femininos e convencidas a instalar apps maliciosos disfarados de YouTube, streaming ou apps de mensagens. ## Visão Geral O [[caprarat|CapraRAT]] e um Remote Access Trojan Android atribuido ao [[g0134-transparent-tribe|Transparent Tribe]] (também conhecido como APT36, ProjectM, MYTHIC LEOPARD), ator de ameaça atribuido ao Paquistao ativo desde pelo menos 2013. O CapraRAT e uma versao fortemente modificada do AndroRAT - um RAT Android de código aberto - com extensas capacidades de vigilancia e exfiltração. O vetor de distribuição mais caracteristico do CapraRAT e a engenharia social romantica: operadores do [[g0134-transparent-tribe|Transparent Tribe]] criam perfis falsos de mulheres atraentes em redes sociais e aplicativos de relacionamento para seduzir alvos (tipicamente militares, policiais e funcionarios governamentais indianos e paquistaneses). Uma vez estabelecido o contato, a "vitima" e convencida a instalar um app que parece ser YouTube, um app de entretenimento ou de mensagens - que na verdade e o CapraRAT. A campanha CapraTube, identificada pela SentinelOne em setembro de 2023, revelou uma variante sofisticada que incorpora um WebView funcional do YouTube dentro do app malicioso - tornando a experiência de usuario indistinguivel do YouTube real enquanto executa vigilancia em segundo plano. Versoes mais recentes (CapraTube Remix, outubro 2023) adicionaram suporte a Android 13+ com evasão de restricoes de permissao. **Plataformas:** Android ## Como Funciona O CapraRAT opera com distribuição via engenharia social e vigilancia persistente: 1. **Honey-trap**: contato inicial por perfis falsos femininos em redes sociais (Facebook, WhatsApp) ou apps de relacionamento 2. **Entrega do APK**: vitima e convencida a instalar APK fora da Play Store - disfarado de YouTube, streaming ou app de mensagens 3. **Permissoes**: app solicita permissoes extensivas - localização, microfone, camera, contatos, SMS, notificacoes 4. **C2**: comunicação com servidor C2 via TCP/HTTPS; IPs hardcoded com mecanismos de fallback ([[t1481-001-dead-drop-resolver|T1481.001]]) 5. **Vigilancia contínua**: captura de audio, video, tela, localização GPS, SMS/chamadas em tempo real ```mermaid graph TB A["Honey-trap Romantica<br/>Perfil falso feminino<br/>Redes sociais / apps dating"] --> B["Engenharia Social<br/>Confianca estabelecida<br/>Solicitacao de instalacao APK"] B --> C["APK Malicioso<br/>Disfarado de YouTube<br/>Fora da Play Store"] C --> D["Permissoes Android<br/>Localização microfone camera<br/>SMS contatos notificacoes"] D --> E["C2 via TCP/HTTPS<br/>IPs hardcoded + fallback<br/>T1481.001"] E --> F["Vigilancia Persistente<br/>Audio video GPS SMS<br/>Espionagem militar India/Paquistao"] classDef social fill:#e74c3c,color:#fff classDef delivery fill:#e67e22,color:#fff classDef install fill:#8e44ad,color:#fff classDef perms fill:#2980b9,color:#fff classDef c2 fill:#27ae60,color:#fff classDef surv fill:#2c3e50,color:#fff class A social class B delivery class C install class D perms class E c2 class F surv ``` ## Timeline ```mermaid timeline title CapraRAT - Historico 2020 : CapraRAT identificado pela primeira vez : Baseado em AndroRAT open-source 2021 : Campanhas contra militares indianos : Distribuição via apps de mensagens falsos Set 2023 : Campanha CapraTube - SentinelOne descobre : APK disfarado de YouTube com WebView real Out 2023 : CapraTube Remix - suporte Android 13+ : Evasão de restricoes de permissao modernas 2024 : Continuidade de operacoes contra India e Paquistao : Novos temas de app para distribuição ``` ## Técnicas Utilizadas (Mobile - MITRE ATT&CK Mobile) | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1476-deliver-malicious-app-via-other-means\|T1476]] | APK distribuido fora da Play Store | | Collection | [[t1429-audio-capture\|T1429]] | Captura de audio via microfone | | Collection | [[t1512-video-capture\|T1512]] | Captura de video via camera | | Collection | [[t1513-screen-capture\|T1513]] | Captura de tela do dispositivo | | Collection | [[t1432-access-contact-list\|T1432]] | Acesso a lista de contatos | | Collection | [[t1517-access-notifications\|T1517]] | Leitura de notificacoes | | Discovery | [[t1430-location-tracking\|T1430]] | Rastreamento de localização GPS | | C2 | [[t1481-001-dead-drop-resolver\|T1481.001]] | IPs C2 hardcoded com fallback | | Exfiltration | [[t1533-data-from-local-system\|T1533]] | Coleta de dados locais do dispositivo | ## Relevância LATAM/Brasil O CapraRAT tem relevância limitada direta para o Brasil - o [[g0134-transparent-tribe|Transparent Tribe]] foca quase exclusivamente em alvos indianos e paquistaneses relacionados a conflito Kashmir. No entanto, o vetor de honey-trap e engenharia social romantica e universalmente aplicavel, e versoes modificadas do CapraRAT (ou RATs similares baseados em AndroRAT) tem sido identificadas em contextos de espionagem por grupos criminosos no Brasil. Para equipes de segurança no Brasil, o CapraRAT serve como caso de estudo importante: RATs Android distribuidos fora das lojas oficiais via engenharia social continuam sendo um vetor ativo em [[government|governo]], [[technology|tecnologia]] e setores com interesse de inteligência. **Setores historicamente impactados:** [[government|governo]] - defesa - telecomúnicacoes ## Detecção - Monitorar instalacoes de APKs fora da Play Store em dispositivos corporativos (sideloading) - Detectar apps que solicitam permissoes anomalas combinadas: localização + microfone + camera + SMS simultaneamente - Verificar certificados de apps Android - CapraRAT usa certificados auto-assinados ou expirados - IOCs: IPs de C2 hardcoded reportados pela SentinelOne (setembro 2023) e Lookout Threat Lab ```sigma title: CapraRAT Suspicious Android APK Sideload via ADB status: experimental logsource: product: android category: application_install detection: selection: source: 'Unknown Sources' package_name|contains: - 'youtube' - 'stream' - 'chat' condition: selection level: high tags: - attack.initial-access - attack.t1476 ``` ## Referências - [1](https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube/) SentinelOne - CapraTube: Transparent Tribe CapraRAT Mimics YouTube (2023) - [2](https://www.lookout.com/threat-intelligence/article/lookout-identifies-new-android-spyware-used-by-pakistan-apt-transparent-tribe) Lookout Threat Lab - Transparent Tribe Android Spyware (2022) - [3](https://attack.mitre.org/groups/G0134/) MITRE ATT&CK - Transparent Tribe Group Profile G0134 (2024) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/apk.caprarat) Malpedia - CapraRAT Android Family Details (2024) - [5](https://therecord.media/transparent-tribe-pakistan-india-capratube) The Record - CapraTube Pakistan APT Espionage (2023)