البرامج الضارة للأجهزة المحمولة CraxsRAT

كشف خبراء الأمن السيبراني عن الهوية الحقيقية للفرد المسؤول عن تطوير أحصنة طروادة للوصول عن بعد (RATs) المعروفة باسم CypherRAT وCraxsRAT.

يعمل تحت الاسم المستعار على الإنترنت "EVLF DEV" ومقره في سوريا على مدى السنوات الثماني الماضية، ويُعتقد أن ممثل التهديد هذا قد حقق أكثر من 75000 دولار من خلال توزيع هذين النوعين من RATs على كيانات تهديد مختلفة. تشير المعلومات التي تم الكشف عنها أيضًا إلى أن هذا الشخص يعمل كمشغل للبرامج الضارة كخدمة (MaaS).

على مدى السنوات الثلاث الماضية، قدمت EVLF DEV برنامج CraxsRAT، والذي يعتبر واحدًا من أكثر برامج RAT الضارة والمتطورة لنظام Android. لقد كان RAT هذا متاحًا على متجر ويب سطحي، وتم بيع ما يقرب من 100 ترخيص مدى الحياة حتى الآن.

تتميز برامج CraxsRAT Android الضارة بأنها قابلة للتخصيص بدرجة كبيرة

يقوم CraxsRAT بإنشاء حزم مبهمة بشكل معقد، مما يمنح الجهات الفاعلة الضارة المرونة اللازمة لتخصيص محتواها بناءً على نوع الهجوم المقصود، بما في ذلك حقن صفحة WebView. تتمتع الجهات الفاعلة في مجال التهديد بحرية تحديد اسم التطبيق وأيقونته للتسلل إلى الجهاز، بالإضافة إلى الوظائف المحددة التي ستمتلكها البرامج الضارة.

علاوة على ذلك، يتضمن المنشئ ميزة التثبيت السريع التي تصمم التطبيقات مع الحد الأدنى من أذونات التثبيت لتجنب الاكتشاف. ومع ذلك، بعد التثبيت، يحتفظ ممثل التهديد بالقدرة على طلب تفعيل أذونات إضافية.

يستفيد حصان طروادة هذا من خدمات إمكانية الوصول لنظام Android للحصول على مجموعة متنوعة من الميزات، بما في ذلك تسجيل لوحة المفاتيح والتلاعب بشاشة اللمس واختيار الخيارات تلقائيًا. يشمل النطاق الواسع من إمكانيات CraxsRAT مهام مثل التسجيل والبث المباشر لشاشة الجهاز. إنه قادر على الحصول على التسجيلات أو المشاركة في المراقبة في الوقت الفعلي باستخدام ميكروفون الهاتف والكاميرات الأمامية والخلفية. يستطيع حصان طروادة تتبع موقع الجهاز المخترق من خلال تحديد الموقع الجغرافي أو من خلال مراقبة الحركات الحية. ونتيجة لذلك، لديه القدرة على تحديد الموقع الدقيق للضحية.

يتوفر أيضًا خيار "super mod" لمجرمي الإنترنت لجعل CraxsRAT مقاومًا للإزالة من الأجهزة المصابة. يتم تحقيق ذلك عن طريق إحداث عطل في كل مرة يتم فيها اكتشاف محاولة لإلغاء تثبيت التطبيق.

CraxsRAT يسرق أجهزة الضحايا الحساسة والخاصة

تم تجهيز CraxsRAT أيضًا لإدارة التطبيقات. يتضمن ذلك مهام مثل الحصول على قائمة التطبيقات المثبتة، وتمكينها أو تعطيلها، وفتحها أو إغلاقها، وحتى حذفها. إلى جانب التحكم في الشاشة، يتمتع CraxsRAT بالقدرة على قفل الشاشة أو فتحها، ويمكنه تغميق الشاشة لإخفاء أفعاله الضارة. تعمل البرمجيات الخبيثة على توسيع قدراتها لتشمل مهام إدارة الملفات، مثل فتح الملفات ونقلها ونسخها وتنزيلها وتحميلها وتشفيرها وفك تشفيرها.

يمتلك CraxsRAT القدرة على مراقبة مواقع الويب التي يتم الوصول إليها وفرض فتح صفحات محددة. يمكن لـ RAT هذا أن يبدأ سلاسل العدوى إما عن طريق تنزيل الحمولات وتنفيذها بنفسه أو عن طريق خداع الضحايا للقيام بذلك من خلال مواقع الويب الضارة المفتوحة بالقوة. ونتيجة لذلك، من الناحية النظرية، يمكن استخدام هذا البرنامج لزرع الأجهزة التي تحتوي على أحصنة طروادة المتخصصة وبرامج الفدية وغيرها من أشكال البرامج الضارة.

يتمتع CraxsRAT بالقدرة على التعامل مع جهات اتصال الهاتف من خلال قراءة جهات اتصال جديدة وحذفها وإضافتها. بالإضافة إلى ذلك، فإن برنامج التهديد ماهر في فحص سجلات المكالمات (بما في ذلك المكالمات الواردة والصادرة والفائتة)، وتسجيل المحادثات الهاتفية، وحتى بدء المكالمات. وبالمثل، يستطيع حصان طروادة الوصول إلى الرسائل النصية القصيرة (المرسلة والمستقبلة، بالإضافة إلى المسودات) وإرسالها. تعمل هذه الميزات المتعلقة بالمكالمات الهاتفية والرسائل النصية على استخدام CraxsRAT كبرامج ضارة للاحتيال.

يستطيع RAT الوصول إلى المحتوى المخزن في الحافظة (أي المخزن المؤقت للنسخ واللصق). يستهدف CraxsRAT أيضًا حسابات مختلفة وبيانات اعتماد تسجيل الدخول الخاصة بهم. ومن بين الأمثلة المدرجة في المواد الترويجية رسائل البريد الإلكتروني غير المحددة وحسابات فيسبوك وتيليجرام.

من المهم الإشارة إلى أن مطوري البرامج الضارة غالبًا ما يقومون بتحسين برامجهم، ولا يختلف CraxsRAT عن ذلك. وبالتالي، لا تظهر هذه الإصابات تنوعًا بسبب طبيعتها القابلة للتخصيص فحسب، بل تظهر أيضًا اختلافات بسبب إدخال الميزات المدمجة حديثًا.