O ator de ameaça conhecido como Transparent Tribe continua lançando aplicativos Android carregados com malware como parte de uma campanha de engenharia social para atacar indivíduos específicos. A campanha, denominada CapraTube, foi inicialmente detalhada pela empresa de cibersegurança SentinelOne em setembro de 2023, com o grupo de hackers empregando aplicativos Android armados que se passam por aplicativos legítimos como YouTube para entregar um spyware chamado CapraRAT, uma versão modificada do AndroRAT com capacidades de capturar uma ampla gama de dados sensíveis.

O grupo tem um histórico de ataques de spear-phishing e watering hole para entregar uma variedade de spywares para Windows e Android. O CapraRAT usa WebView para lançar um URL para o YouTube ou um site de jogos móveis chamado CrazyGames[.]com, enquanto, em segundo plano, abusa de suas permissões para acessar localização, mensagens SMS, contatos e registros de chamadas; fazer chamadas telefônicas; tirar screenshots; ou gravar áudio e vídeo.

As atualizações no código do CapraRAT entre a campanha de setembro de 2023 e a campanha atual são mínimas, mas sugerem que os desenvolvedores estão focados em tornar a ferramenta mais confiável e estável.