新型Android RAT远程访问木马，可远程访问并窃取敏感信息

最新的网络安全研究发现，一个针对政治活动的高级持续威胁APT组织扩大了其恶意软件库，在针对印度军事和外交部门的间谍攻击中发现了一个新型的RAT远程访问木马。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，该远程访问木马被称为CapraRAT，是针对Android的RAT远程访问木马，它与另一种称为 CrimsonRAT 的 Windows 恶意软件具有高度重合度，该恶意软件的运营方就是APT36。

APT36组织首次在2016年被发现，当时该组织开始通过针对印度军方和政府人员的带有恶意 PDF 附件的网络钓鱼电子邮件分发信息窃取恶意软件。

目前APT攻击的手法都比较类似，攻击主要依靠社会工程和基于USB 的蠕虫作为入口点。APT36武器库中的常见武器之一是一个名为CrimsonRAT的Windows 后门，该后门能大批量远程访问受感染的系统。

CrimsonRAT后门是基于 .NET 编译的二进制文件，其主要目的是从目标 Windows 系统获取和泄露信息，包括屏幕截图、击键和U盘中的文件，并将它们上传到攻击者的C2命令控制服务器。

其工具集的新增功能是另一种通过网络钓鱼链接部署的自定义 Android RAT。伪装成 YouTube 应用的 CapraRAT 据说是一款名为 AndroRAT 的开源 RAT 的修改版，具有多种数据泄露功能，包括获取受害者位置、电话日志和联系信息的能力。

目前，Android RAT木马已成为APT攻击的重要方式。在 2020 年，Transparent Tribe 发起的攻击活动涉及利用以军事为主题的诱饵来投放伪装成色情相关应用程序的 AhMyth Android RAT的修改版本和Aarogya Setu COVID-19 跟踪应用程序的伪造版本。