CraxsRAT Mobile Malware

Cybersikkerhedseksperter har angiveligt afsløret den sande identitet af den person, der er ansvarlig for at udvikle Remote Access Trojans (RAT'er), kendt som CypherRAT og CraxsRAT.

Denne trusselsaktør, der opererer under onlinealiaset 'EVLF DEV' og har base i Syrien i de sidste otte år, menes at have genereret mere end $75.000 ved at distribuere disse to RAT'er til forskellige truende enheder. De afslørede oplysninger indikerer også, at denne person fungerer som en Malware-as-a-Service (MaaS)-operatør.

I de sidste tre år har EVLF DEV tilbudt CraxsRAT, som betragtes som en af de mere skadelige og sofistikerede Android RAT'er. Denne RAT har været tilgængelig på en overfladewebbutik med cirka 100 levetidslicenser solgt indtil videre.

CraxsRAT Android Malware er meget tilpasselig

CraxsRAT genererer indviklet slørede pakker, der giver ondsindede aktører fleksibilitet til at skræddersy deres indhold baseret på den påtænkte type angreb, inklusive WebView-sideindsprøjtninger. Trusselsaktørerne har frihed til at bestemme appens navn og ikon for enhedsinfiltration, samt de specifikke funktionaliteter, malwaren vil besidde.

Desuden inkorporerer bygherren en hurtig installationsfunktion, der laver applikationer med minimale installationstilladelser for at undgå registrering. Efter installationen bevarer trusselsaktøren dog muligheden for at anmode om aktivering af yderligere tilladelser.

Denne trojaner udnytter Android Accessibility Services til at få en række funktioner, herunder keylogging, touchscreen-manipulation og automatisk valg af valgmuligheder. Det omfattende udvalg af CraxsRATs muligheder omfatter opgaver som optagelse og livestreaming af enhedens skærm. Den er i stand til at erhverve optagelser eller deltage i overvågning i realtid ved hjælp af telefonens mikrofon og både front- og bagkamera. Trojaneren kan spore den brudte enheds placering gennem geolocation eller ved at overvåge levende bevægelser. Som et resultat har den mulighed for at lokalisere ofrets nøjagtige placering.

En 'super mod' mulighed er også tilgængelig for cyberkriminelle for at gøre CraxsRAT modstandsdygtig over for fjernelse fra inficerede enheder. Dette opnås ved at udløse et nedbrud, hver gang et forsøg på at afinstallere appen opdages.

CraxsRAT stjæler følsomme og private dataofres enheder

CraxsRAT er også udstyret til at administrere applikationer. Dette omfatter opgaver såsom at hente listen over installerede programmer, aktivere eller deaktivere dem, åbne eller lukke og endda slette dem. Ved siden af skærmstyring har CraxsRAT kapacitet til at låse eller låse skærmen op, og den kan gøre skærmen mørkere for at skjule dens ondsindede handlinger. Malwaren udvider sine muligheder til filhåndteringsopgaver, såsom åbning, flytning, kopiering, download, upload, kryptering og dekryptering af filer.

CraxsRAT besidder evnen til at overvåge tilgåede websteder og gennemtvinge åbningen af specifikke sider. Denne RAT kan initiere infektionskæder enten ved selv at downloade og udføre nyttelaster eller ved at bedrage ofre til at gøre det gennem tvangsåbnede ondsindede websteder. Som følge heraf kunne dette program i teorien bruges til at implantere enheder med mere specialiserede trojanske heste, ransomware og andre former for malware.

CraxsRAT har kapacitet til at manipulere telefonens kontakter ved at læse, slette og tilføje nye. Derudover er det truende program dygtig til at undersøge opkaldslogger (inklusive indgående, udgående og ubesvarede opkald), optage telefonsamtaler og endda starte opkald. På samme måde kan trojaneren få adgang til SMS-beskeder (både sendt og modtaget, såvel som kladder) og sende dem. Disse funktioner relateret til telefonopkald og tekstbeskeder placerer CraxsRAT til at blive brugt som Toll Fraud malware.

RAT'en er i stand til at få adgang til indhold, der er gemt i udklipsholderen (dvs. copy-paste bufferen). CraxsRAT er også målrettet mod forskellige konti og deres loginoplysninger. Blandt eksemplerne i dets salgsfremmende materiale er uspecificerede e-mails, Facebook- og Telegram-konti.

Det er vigtigt at fremhæve, at malware-udviklere ofte forfiner deres software, og CraxsRAT er ikke anderledes. Følgelig udviser disse infektioner ikke kun mangfoldighed på grund af deres tilpasselige natur, men viser også variationer på grund af introduktionen af nyligt indarbejdede funktioner.