بدافزار موبایل CraxsRAT
گزارش شده است که کارشناسان امنیت سایبری هویت واقعی فردی را که مسئول توسعه تروجان های دسترسی از راه دور (RAT) معروف به CypherRAT و CraxsRAT است، کشف کرده اند.
این عامل تهدید که تحت نام مستعار آنلاین "EVLF DEV" فعالیت می کند و در هشت سال گذشته در سوریه مستقر است، گمان می رود با توزیع این دو موش صحرایی بین نهادهای مختلف تهدید کننده بیش از 75000 دلار درآمد داشته باشد. اطلاعات فاش شده همچنین نشان می دهد که این فرد به عنوان یک اپراتور Malware-as-a-Service (MaaS) عمل می کند.
در سه سال گذشته، EVLF DEV CraxsRAT را ارائه میدهد که یکی از مضرترین و پیچیدهترین RATهای اندرویدی محسوب میشود. این RAT در یک فروشگاه وب سطحی در دسترس بوده است و تاکنون تقریباً 100 مجوز مادام العمر فروخته شده است.
بدافزار اندروید CraxsRAT بسیار قابل تنظیم است
CraxsRAT بستههای مبهم پیچیده ایجاد میکند و به بازیگران مخرب انعطافپذیری میدهد تا محتوای خود را بر اساس نوع حمله مورد نظر، از جمله تزریق صفحات WebView، تنظیم کنند. عوامل تهدید این آزادی را دارند که نام و نماد برنامه را برای نفوذ دستگاه و همچنین عملکردهای خاصی که بدافزار خواهد داشت، تعیین کنند.
علاوه بر این، سازنده یک ویژگی نصب سریع را در خود جای داده است که برنامههای کاربردی را با حداقل مجوزهای نصب برای فرار از تشخیص ایجاد میکند. با این حال، پس از نصب، عامل تهدید توانایی درخواست فعالسازی مجوزهای اضافی را حفظ میکند.
این تروجان از خدمات دسترسپذیری اندروید برای به دست آوردن ویژگیهای مختلفی از جمله ثبت صفحه کلید، دستکاری صفحه لمسی و انتخاب خودکار گزینهها استفاده میکند. طیف گسترده ای از قابلیت های CraxsRAT شامل کارهایی مانند ضبط و پخش زنده صفحه نمایش دستگاه می شود. با استفاده از میکروفون تلفن و هر دو دوربین جلو و عقب، میتواند ضبطهای ضبط شده را به دست آورد یا در زمان واقعی نظارت داشته باشد. تروجان می تواند مکان دستگاه نقض شده را از طریق موقعیت جغرافیایی یا با نظارت بر حرکات زنده ردیابی کند. در نتیجه، این قابلیت را دارد که مکان دقیق قربانی را مشخص کند.
گزینه "super mod" نیز برای مجرمان سایبری در دسترس است تا CraxsRAT در برابر حذف از دستگاه های آلوده مقاوم شود. هر بار که تلاشی برای حذف نصب برنامه شناسایی می شود، این کار با ایجاد یک خرابی به دست می آید.
CraxsRAT دستگاه های داده های حساس و خصوصی قربانیان را سرقت می کند
CraxsRAT همچنین برای مدیریت برنامه ها مجهز است. این شامل کارهایی مانند دریافت لیست برنامه های نصب شده، فعال یا غیرفعال کردن آنها، باز کردن یا بستن و حتی حذف آنها می شود. در کنار کنترل صفحه، CraxsRAT ظرفیت قفل کردن یا باز کردن قفل صفحه را دارد و می تواند صفحه را تاریک کند تا اعمال مخرب آن را پنهان کند. این بدافزار قابلیت های خود را به وظایف مدیریت فایل، مانند باز کردن، جابجایی، کپی، دانلود، آپلود، رمزگذاری و رمزگشایی فایل ها گسترش می دهد.
CraxsRAT دارای توانایی نظارت بر وب سایت های قابل دسترسی و اجرای باز شدن صفحات خاص است. این RAT میتواند زنجیرههای آلودگی را با بارگیری و اجرای بارهای خود یا با فریب دادن قربانیان به انجام این کار از طریق وبسایتهای مخرب باز شده به زور راهاندازی کند. در نتیجه، در تئوری، این برنامه می تواند برای کاشت دستگاه هایی با تروجان های تخصصی تر، باج افزارها و سایر اشکال بدافزار مورد استفاده قرار گیرد.
CraxsRAT توانایی دستکاری مخاطبین تلفن را با خواندن، حذف و افزودن مخاطبین جدید دارد. علاوه بر این، برنامه تهدید کننده در بررسی گزارش تماس (شامل تماس های ورودی، خروجی و از دست رفته)، ضبط مکالمات تلفنی و حتی برقراری تماس ها مهارت دارد. به طور مشابه، تروجان می تواند به پیام های اس ام اس (هر دو ارسال و دریافت، و همچنین پیش نویس ها) دسترسی داشته باشد و آنها را ارسال کند. این ویژگیهای مربوط به تماسهای تلفنی و پیامهای متنی باعث میشود که CraxsRAT به عنوان بدافزار Toll Fraud استفاده شود.
RAT قادر به دسترسی به محتوای ذخیره شده در کلیپ بورد (یعنی بافر کپی-پیست) است. CraxsRAT همچنین حساب های مختلف و اعتبار ورود به سیستم آنها را هدف قرار می دهد. از جمله نمونه های ذکر شده در مطالب تبلیغاتی آن می توان به ایمیل های نامشخص، حساب های فیس بوک و تلگرام اشاره کرد.
مهم است که تأکید کنیم توسعه دهندگان بدافزار اغلب نرم افزار خود را اصلاح می کنند و CraxsRAT تفاوتی ندارد. در نتیجه، این عفونتها نه تنها به دلیل ماهیت قابل سفارشیسازیشان تنوع نشان میدهند، بلکه به دلیل معرفی ویژگیهای جدید گنجانده شده، تغییراتی را نیز نشان میدهند.