CraxsRAT mobiili pahavara

Küberturvalisuse eksperdid on väidetavalt avastanud CypherRAT-i ja CraxsRAT-i nime all tuntud kaugjuurdepääsu troojalaste (RAT) väljatöötamise eest vastutava isiku tegeliku identiteedi.

See ohustaja, kes tegutses võrgus varjunime EVLF DEV all ja asus viimased kaheksa aastat Süürias, on teeninud üle 75 000 dollari, jagades need kaks RAT-i erinevatele ähvardavatele üksustele. Avalikustatud teave viitab ka sellele, et see isik tegutseb pahavara teenusena (MaaS) operaatorina.

Viimased kolm aastat on EVLF DEV pakkunud CraxsRAT-i, mida peetakse üheks kahjulikumaks ja keerukamaks Androidi RAT-iks. See RAT on olnud saadaval veebipoes ja siiani on müüdud umbes 100 eluaegset litsentsi.

CraxsRAT Androidi pahavara on väga kohandatav

CraxsRAT genereerib keerukalt segatud pakette, mis annavad pahatahtlikele osalejatele paindlikkuse kohandada oma sisu vastavalt kavandatud ründetüübile, sealhulgas WebView lehtede süstidele. Ohutegijatel on vabadus määrata seadmesse sissetungimiseks rakenduse nimi ja ikoon, samuti pahavara spetsiifilised funktsioonid.

Lisaks sisaldab ehitaja kiirinstalli funktsiooni, mis loob tuvastamisest kõrvalehoidmiseks minimaalsete installiõigustega rakendusi. Kuid pärast installimist säilitab ohus osaleja võimaluse taotleda täiendavate lubade aktiveerimist.

See troojalane kasutab Androidi juurdepääsetavuse teenuseid, et saada mitmesuguseid funktsioone, sealhulgas klahvilogimist, puuteekraaniga manipuleerimist ja automaatset valikute valikut. CraxsRAT-i võimaluste lai valik hõlmab selliseid ülesandeid nagu seadme ekraani salvestamine ja otseülekanne. See on võimeline hankima salvestusi või tegelema reaalajas jälgimisega, kasutades telefoni mikrofoni ning nii esi- kui tagakaamerat. Troojalane saab jälgida murtud seadme asukohta geolokatsiooni või reaalajas liikumist jälgides. Selle tulemusel on see võimeline ohvri täpse asukoha kindlaks määrama.

Küberkurjategijatele on saadaval ka supermodi valik, et muuta CraxsRAT nakatunud seadmetest eemaldamise suhtes vastupidavaks. See saavutatakse, käivitades krahhi iga kord, kui tuvastatakse rakenduse desinstallimise katse.

CraxsRAT varastab tundlikke ja privaatseid ohvrite seadmeid

CraxsRAT on varustatud ka rakenduste haldamiseks. See hõlmab selliseid ülesandeid nagu installitud rakenduste loendi hankimine, nende lubamine või keelamine, avamine või sulgemine ja isegi kustutamine. Lisaks ekraani juhtimisele on CraxsRATil võimalus ekraani lukustada või avada ning see võib ekraani tumedamaks muuta, et varjata selle pahatahtlikke toiminguid. Pahavara laiendab oma võimalusi failihaldustoimingutele, nagu failide avamine, teisaldamine, kopeerimine, allalaadimine, üleslaadimine, krüpteerimine ja dekrüpteerimine.

CraxsRAT-il on võimalus jälgida külastatud veebisaite ja jõustada konkreetsete lehtede avamist. See RAT võib algatada nakkusahelaid, laadides alla ja käivitades ise kasulikke koormusi või pettes ohvreid seda tegema jõuliselt avatud pahatahtlike veebisaitide kaudu. Selle tulemusena saaks teoreetiliselt seda programmi kasutada spetsiaalsemate troojalaste, lunavara ja muud tüüpi pahavaraga seadmete implanteerimiseks.

CraxsRATil on võimalus telefoni kontaktidega manipuleerida, lugedes, kustutades ja lisades uusi. Lisaks oskab ähvardav programm kõnelogide (sh sissetulevate, väljuvate ja vastamata kõnede) uurimist, telefonivestluste salvestamist ja isegi kõnede algatamist. Samamoodi pääseb troojalane ligi SMS-sõnumitele (nii saadetud kui ka vastuvõetud, aga ka mustanditele) ja neid saata. Need telefonikõnede ja tekstisõnumitega seotud funktsioonid asetavad CraxsRAT-i kasutamiseks teemaksupettuste pahavarana.

RAT pääseb juurde lõikepuhvrisse salvestatud sisule (st kopeerimis-kleebi puhvrile). CraxsRAT sihib ka erinevaid kontosid ja nende sisselogimismandaate. Selle reklaammaterjalis loetletud näidete hulgas on täpsustamata meilid, Facebooki ja Telegrami kontod.

Oluline on rõhutada, et pahavara arendajad täiustavad sageli oma tarkvara ja CraxsRAT ei erine sellest. Järelikult ei ole need infektsioonid mitte ainult mitmekesised nende kohandatava olemuse tõttu, vaid näitavad ka erinevusi, mis on tingitud äsja lisatud funktsioonide kasutuselevõtust.