بدافزار موبایل CraxsRAT

گزارش شده است که کارشناسان امنیت سایبری هویت واقعی فردی را که مسئول توسعه تروجان های دسترسی از راه دور (RAT) معروف به CypherRAT و CraxsRAT است، کشف کرده اند.

این عامل تهدید که تحت نام مستعار آنلاین "EVLF DEV" فعالیت می کند و در هشت سال گذشته در سوریه مستقر است، گمان می رود با توزیع این دو موش صحرایی بین نهادهای مختلف تهدید کننده بیش از 75000 دلار درآمد داشته باشد. اطلاعات فاش شده همچنین نشان می دهد که این فرد به عنوان یک اپراتور Malware-as-a-Service (MaaS) عمل می کند.

در سه سال گذشته، EVLF DEV CraxsRAT را ارائه می‌دهد که یکی از مضر‌ترین و پیچیده‌ترین RAT‌های اندرویدی محسوب می‌شود. این RAT در یک فروشگاه وب سطحی در دسترس بوده است و تاکنون تقریباً 100 مجوز مادام العمر فروخته شده است.

بدافزار اندروید CraxsRAT بسیار قابل تنظیم است

CraxsRAT بسته‌های مبهم پیچیده ایجاد می‌کند و به بازیگران مخرب انعطاف‌پذیری می‌دهد تا محتوای خود را بر اساس نوع حمله مورد نظر، از جمله تزریق صفحات WebView، تنظیم کنند. عوامل تهدید این آزادی را دارند که نام و نماد برنامه را برای نفوذ دستگاه و همچنین عملکردهای خاصی که بدافزار خواهد داشت، تعیین کنند.

علاوه بر این، سازنده یک ویژگی نصب سریع را در خود جای داده است که برنامه‌های کاربردی را با حداقل مجوزهای نصب برای فرار از تشخیص ایجاد می‌کند. با این حال، پس از نصب، عامل تهدید توانایی درخواست فعال‌سازی مجوزهای اضافی را حفظ می‌کند.

این تروجان از خدمات دسترس‌پذیری اندروید برای به دست آوردن ویژگی‌های مختلفی از جمله ثبت صفحه کلید، دستکاری صفحه لمسی و انتخاب خودکار گزینه‌ها استفاده می‌کند. طیف گسترده ای از قابلیت های CraxsRAT شامل کارهایی مانند ضبط و پخش زنده صفحه نمایش دستگاه می شود. با استفاده از میکروفون تلفن و هر دو دوربین جلو و عقب، می‌تواند ضبط‌های ضبط شده را به دست آورد یا در زمان واقعی نظارت داشته باشد. تروجان می تواند مکان دستگاه نقض شده را از طریق موقعیت جغرافیایی یا با نظارت بر حرکات زنده ردیابی کند. در نتیجه، این قابلیت را دارد که مکان دقیق قربانی را مشخص کند.

گزینه "super mod" نیز برای مجرمان سایبری در دسترس است تا CraxsRAT در برابر حذف از دستگاه های آلوده مقاوم شود. هر بار که تلاشی برای حذف نصب برنامه شناسایی می شود، این کار با ایجاد یک خرابی به دست می آید.

CraxsRAT دستگاه های داده های حساس و خصوصی قربانیان را سرقت می کند

CraxsRAT همچنین برای مدیریت برنامه ها مجهز است. این شامل کارهایی مانند دریافت لیست برنامه های نصب شده، فعال یا غیرفعال کردن آنها، باز کردن یا بستن و حتی حذف آنها می شود. در کنار کنترل صفحه، CraxsRAT ظرفیت قفل کردن یا باز کردن قفل صفحه را دارد و می تواند صفحه را تاریک کند تا اعمال مخرب آن را پنهان کند. این بدافزار قابلیت های خود را به وظایف مدیریت فایل، مانند باز کردن، جابجایی، کپی، دانلود، آپلود، رمزگذاری و رمزگشایی فایل ها گسترش می دهد.

CraxsRAT دارای توانایی نظارت بر وب سایت های قابل دسترسی و اجرای باز شدن صفحات خاص است. این RAT می‌تواند زنجیره‌های آلودگی را با بارگیری و اجرای بارهای خود یا با فریب دادن قربانیان به انجام این کار از طریق وب‌سایت‌های مخرب باز شده به زور راه‌اندازی کند. در نتیجه، در تئوری، این برنامه می تواند برای کاشت دستگاه هایی با تروجان های تخصصی تر، باج افزارها و سایر اشکال بدافزار مورد استفاده قرار گیرد.

CraxsRAT توانایی دستکاری مخاطبین تلفن را با خواندن، حذف و افزودن مخاطبین جدید دارد. علاوه بر این، برنامه تهدید کننده در بررسی گزارش تماس (شامل تماس های ورودی، خروجی و از دست رفته)، ضبط مکالمات تلفنی و حتی برقراری تماس ها مهارت دارد. به طور مشابه، تروجان می تواند به پیام های اس ام اس (هر دو ارسال و دریافت، و همچنین پیش نویس ها) دسترسی داشته باشد و آنها را ارسال کند. این ویژگی‌های مربوط به تماس‌های تلفنی و پیام‌های متنی باعث می‌شود که CraxsRAT به عنوان بدافزار Toll Fraud استفاده شود.

RAT قادر به دسترسی به محتوای ذخیره شده در کلیپ بورد (یعنی بافر کپی-پیست) است. CraxsRAT همچنین حساب های مختلف و اعتبار ورود به سیستم آنها را هدف قرار می دهد. از جمله نمونه های ذکر شده در مطالب تبلیغاتی آن می توان به ایمیل های نامشخص، حساب های فیس بوک و تلگرام اشاره کرد.

مهم است که تأکید کنیم توسعه دهندگان بدافزار اغلب نرم افزار خود را اصلاح می کنند و CraxsRAT تفاوتی ندارد. در نتیجه، این عفونت‌ها نه تنها به دلیل ماهیت قابل سفارشی‌سازی‌شان تنوع نشان می‌دهند، بلکه به دلیل معرفی ویژگی‌های جدید گنجانده شده، تغییراتی را نیز نشان می‌دهند.