Зловреден софтуер за мобилни устройства CraxsRAT

Съобщава се, че експертите по киберсигурност са разкрили истинската самоличност на лицето, отговорно за разработването на троянските коне за отдалечен достъп (RAT), известни като CypherRAT и CraxsRAT.

Действащ под онлайн псевдонима „EVLF DEV“ и базиран в Сирия през последните осем години, се смята, че този заплашващ актьор е генерирал повече от $75 000 чрез разпространение на тези два RAT на различни заплашителни субекти. Разкритата информация също така показва, че това лице служи като оператор на Malware-as-a-Service (MaaS).

През последните три години EVLF DEV предлага CraxsRAT, който се счита за един от по-вредните и сложни Android RAT. Този RAT е наличен в повърхностен уеб магазин, като досега са продадени приблизително 100 доживотни лиценза.

Злонамереният софтуер CraxsRAT за Android е много адаптивен

CraxsRAT генерира сложно обфусцирани пакети, предоставяйки на злонамерените участници гъвкавостта да адаптират съдържанието си въз основа на предвидения тип атака, включително инжектиране на WebView страница. Актьорите на заплахата имат свободата да определят името и иконата на приложението за проникване в устройството, както и специфичните функции, които зловредният софтуер ще притежава.

Освен това конструкторът включва функция за бързо инсталиране, която създава приложения с минимални разрешения за инсталиране, за да избегне откриването. Въпреки това, след инсталирането, заплахата запазва възможността да поиска активиране на допълнителни разрешения.

Този троянски кон използва услугите за достъпност на Android, за да получи различни функции, включително записване на клавиатури, манипулиране на сензорен екран и автоматичен избор на опции. Обширната гама от възможности на CraxsRAT обхваща задачи като запис и предаване на живо на екрана на устройството. Той може да придобива записи или да участва в наблюдение в реално време, като използва микрофона на телефона и двете предни и задни камери. Троянският кон може да проследи местоположението на пробитото устройство чрез геолокация или чрез наблюдение на движения на живо. В резултат на това той има способността да определи точното местоположение на жертвата.

Опция „супер мод“ също е достъпна за киберпрестъпниците, за да направи CraxsRAT устойчив на премахване от заразени устройства. Това се постига чрез задействане на срив всеки път, когато бъде открит опит за деинсталиране на приложението.

CraxsRAT краде чувствителни и частни данни от устройствата на жертвите

CraxsRAT е оборудван и за управление на приложения. Това включва задачи като получаване на списъка с инсталирани приложения, тяхното активиране или деактивиране, отваряне или затваряне и дори изтриването им. Наред с контрола на екрана, CraxsRAT има капацитета да заключва или отключва екрана и може да затъмни екрана, за да скрие злонамерените действия. Зловреден софтуер разширява възможностите си до задачи за управление на файлове, като отваряне, преместване, копиране, изтегляне, качване, криптиране и дешифриране на файлове.

CraxsRAT притежава способността да наблюдава достъпните уебсайтове и да налага отварянето на конкретни страници. Този RAT може да инициира вериги за заразяване или чрез изтегляне и изпълнение на полезни данни, или като подмами жертвите да го направят чрез принудително отворени злонамерени уебсайтове. В резултат на това на теория тази програма може да се използва за имплантиране на устройства с по-специализирани троянски коне, ransomware и други форми на зловреден софтуер.

CraxsRAT има капацитета да манипулира контактите на телефона чрез четене, изтриване и добавяне на нови. Освен това заплашителната програма е опитна в изследването на дневниците на обажданията (включително входящи, изходящи и пропуснати повиквания), записването на телефонни разговори и дори инициирането на повиквания. По същия начин троянският кон може да има достъп до SMS съобщения (изпратени и получени, както и чернови) и да ги изпраща. Тези функции, свързани с телефонни обаждания и текстови съобщения, позиционират CraxsRAT да бъде използван като злонамерен софтуер за измами с такси.

RAT има достъп до съдържание, съхранено в клипборда (т.е. буфера за копиране и поставяне). CraxsRAT също е насочен към различни акаунти и техните идентификационни данни за вход. Сред примерите, изброени в промоционалните му материали, са неуточнени имейли, акаунти във Facebook и Telegram.

Важно е да се подчертае, че разработчиците на зловреден софтуер често усъвършенстват своя софтуер и CraxsRAT не е по-различен. Следователно, тези инфекции не само показват разнообразие поради техния персонализиран характер, но също така показват вариации поради въвеждането на нововключени функции.