Mobilní malware CraxsRAT

Odborníci na kybernetickou bezpečnost údajně odhalili skutečnou identitu jednotlivce odpovědného za vývoj trojských koní pro vzdálený přístup (RAT) známých jako CypherRAT a CraxsRAT.

Působí pod online aliasem 'EVLF DEV' a sídlí v Sýrii posledních osm let a předpokládá se, že tento aktér hrozeb vygeneroval více než 75 000 dolarů distribucí těchto dvou RAT různým ohrožujícím subjektům. Zveřejněné informace také naznačují, že tato osoba slouží jako provozovatel Malware-as-a-Service (MaaS).

Poslední tři roky EVLF DEV nabízí CraxsRAT, který je považován za jeden z nejškodlivějších a sofistikovanějších Android RAT. Tato RAT byla k dispozici v povrchovém internetovém obchodě s přibližně 100 doživotními prodanými licencemi.

CraxsRAT Android Malware je vysoce přizpůsobitelný

CraxsRAT generuje složitě zamlžené balíčky a poskytuje zlomyslným aktérům flexibilitu přizpůsobit svůj obsah na základě zamýšleného typu útoku, včetně vkládání stránek WebView. Aktéři hrozeb mají svobodu určit název aplikace a ikonu pro infiltraci zařízení, stejně jako konkrétní funkce, které malware bude mít.

Kromě toho tvůrce obsahuje funkci rychlé instalace, která vytváří aplikace s minimálními oprávněními k instalaci, aby se vyhnuly detekci. Po instalaci si však aktér hrozby zachová možnost požádat o aktivaci dalších oprávnění.

Tento trojský kůň využívá služby Android Accessibility Services k získání řady funkcí, včetně keyloggingu, manipulace s dotykovou obrazovkou a automatického výběru možností. Široká škála možností CraxsRAT zahrnuje úkoly, jako je nahrávání a živé vysílání obrazovky zařízení. Je schopen pořizovat záznamy nebo se zapojit do sledování v reálném čase pomocí mikrofonu telefonu a přední i zadní kamery. Trojan může sledovat polohu narušeného zařízení pomocí geolokace nebo sledováním živých pohybů. Díky tomu má schopnost přesně určit polohu oběti.

Pro kyberzločince je k dispozici také možnost „super mod“, aby byl CraxsRAT odolný vůči odstranění z infikovaných zařízení. Toho je dosaženo spuštěním selhání pokaždé, když je zjištěn pokus o odinstalaci aplikace.

CraxsRAT krade citlivá a soukromá data zařízení obětí

CraxsRAT je také vybaven pro správu aplikací. To zahrnuje úkoly, jako je získání seznamu nainstalovaných aplikací, jejich povolení nebo zakázání, otevření nebo zavření a dokonce i jejich odstranění. Kromě ovládání obrazovky má CraxsRAT schopnost uzamknout nebo odemknout obrazovku a může ztmavit obrazovku, aby zakryla její škodlivé akce. Malware rozšiřuje své možnosti na úlohy správy souborů, jako je otevírání, přesouvání, kopírování, stahování, nahrávání, šifrování a dešifrování souborů.

CraxsRAT má schopnost monitorovat navštívené webové stránky a vynucovat otevření konkrétních stránek. Tento RAT může iniciovat infekční řetězce buď samotným stahováním a spouštěním dat, nebo klamáním obětí, aby tak učinily prostřednictvím násilně otevřených škodlivých webových stránek. V důsledku toho by teoreticky mohl být tento program použit k implantaci zařízení se specializovanějšími trojskými koňmi, ransomwarem a dalšími formami malwaru.

CraxsRAT má schopnost manipulovat s kontakty telefonu čtením, mazáním a přidáváním nových. Kromě toho je program pro výhružky zdatný ve zkoumání protokolů hovorů (včetně příchozích, odchozích a zmeškaných hovorů), nahrávání telefonních hovorů a dokonce i iniciování hovorů. Podobně může trojský kůň přistupovat k SMS zprávám (jak odeslaným a přijatým, tak konceptům) a odesílat je. Tyto funkce související s telefonními hovory a textovými zprávami umisťují CraxsRAT k použití jako malware Toll Fraud.

RAT je schopen přistupovat k obsahu uloženému ve schránce (tj. do vyrovnávací paměti pro kopírování a vkládání). CraxsRAT také cílí na různé účty a jejich přihlašovací údaje. Mezi příklady uvedené v jeho propagačních materiálech patří blíže nespecifikované e-maily, účty na Facebooku a Telegramu.

Je důležité zdůraznit, že vývojáři malwaru často vylepšují svůj software a CraxsRAT se neliší. V důsledku toho tyto infekce nejen vykazují rozmanitost díky své přizpůsobitelné povaze, ale také vykazují variace díky zavedení nově začleněných znaků.