Programari maliciós mòbil CraxsRAT

Segons els informes, els experts en ciberseguretat han descobert la veritable identitat de l'individu responsable del desenvolupament dels troians d'accés remot (RAT) coneguts com CypherRAT i CraxsRAT.

Operant sota l'àlies en línia "EVLF DEV" i amb seu a Síria durant els darrers vuit anys, es creu que aquest actor d'amenaça va generar més de 75.000 dòlars distribuint aquests dos RAT a diverses entitats amenaçadores. La informació revelada també indica que aquesta persona actua com a operador de programari maliciós com a servei (MaaS).

Durant els últims tres anys, EVLF DEV ofereix CraxsRAT, que es considera un dels RAT d'Android més nocius i sofisticats. Aquest RAT ha estat disponible en una botiga web de superfície, amb aproximadament 100 llicències de per vida venudes fins ara.

El programari maliciós d'Android CraxsRAT és altament personalitzable

CraxsRAT genera paquets complexos ofuscats, atorgant als actors maliciosos la flexibilitat d'adaptar el seu contingut en funció del tipus d'atac previst, incloses les injeccions de pàgines WebView. Els actors de l'amenaça tenen la llibertat de determinar el nom i la icona de l'aplicació per a la infiltració del dispositiu, així com les funcionalitats específiques que tindrà el programari maliciós.

A més, el constructor incorpora una funció d'instal·lació ràpida que crea aplicacions amb permisos d'instal·lació mínims per evitar la detecció. Tanmateix, després de la instal·lació, l'actor de l'amenaça conserva la possibilitat de sol·licitar l'activació de permisos addicionals.

Aquest troià aprofita els serveis d'accessibilitat d'Android per obtenir una varietat de funcions, com ara el registre de tecles, la manipulació de la pantalla tàctil i la selecció automàtica d'opcions. L'ampli ventall de capacitats de CraxsRAT inclou tasques com la gravació i la reproducció en directe de la pantalla del dispositiu. És capaç d'adquirir enregistraments o participar en la vigilància en temps real mitjançant el micròfon del telèfon i les càmeres frontals i posteriors. El troià pot fer un seguiment de la ubicació del dispositiu trencat mitjançant la geolocalització o supervisant els moviments en directe. Com a resultat, té la capacitat d'identificar la ubicació exacta de la víctima.

També hi ha una opció de "súper mod" disponible per als ciberdelinqüents per fer que el CraxsRAT sigui resistent a l'eliminació dels dispositius infectats. Això s'aconsegueix activant un bloqueig cada vegada que es detecta un intent de desinstal·lar l'aplicació.

CraxsRAT roba dispositius de dades sensibles i privades de les víctimes

CraxsRAT també està equipat per gestionar aplicacions. Això inclou tasques com obtenir la llista d'aplicacions instal·lades, habilitar-les o desactivar-les, obrir-les o tancar-les i fins i tot eliminar-les. A més del control de la pantalla, CraxsRAT té la capacitat de bloquejar o desbloquejar la pantalla i pot enfosquir la pantalla per enfosquir les seves accions malicioses. El programari maliciós amplia les seves capacitats a tasques de gestió de fitxers, com ara obrir, moure, copiar, descarregar, carregar, xifrar i desxifrar fitxers.

CraxsRAT té la capacitat de supervisar els llocs web als quals s'accedeix i de fer complir l'obertura de pàgines específiques. Aquesta RAT pot iniciar cadenes d'infecció, ja sigui descarregant i executant càrregues útils o enganyant les víctimes perquè ho facin mitjançant llocs web maliciosos oberts a la força. Com a resultat, en teoria, aquest programa es podria utilitzar per implantar dispositius amb troians més especialitzats, ransomware i altres formes de programari maliciós.

CraxsRAT té la capacitat de manipular els contactes del telèfon llegint, esborrant i afegint-ne de nous. A més, el programa amenaçador és capaç d'examinar els registres de trucades (incloses les trucades entrants, sortints i perdudes), enregistrar converses telefòniques i fins i tot iniciar trucades. De la mateixa manera, el troià pot accedir als missatges SMS (tant enviats com rebuts, així com als esborranys) i enviar-los. Aquestes funcions relacionades amb les trucades telefòniques i els missatges de text situen CraxsRAT perquè s'utilitzi com a programari maliciós de frau de peatge.

El RAT pot accedir al contingut emmagatzemat al porta-retalls (és a dir, la memòria intermèdia de còpia i enganxa). CraxsRAT també s'adreça a diversos comptes i les seves credencials d'inici de sessió. Entre els exemples que figuren al seu material promocional hi ha correus electrònics no especificats, comptes de Facebook i Telegram.

És important destacar que els desenvolupadors de programari maliciós sovint refinen el seu programari i CraxsRAT no és diferent. En conseqüència, aquestes infeccions no només presenten diversitat a causa de la seva naturalesa personalitzable, sinó que també mostren variacions a causa de la introducció de funcions recentment incorporades.