CraxsRAT Mobile -haittaohjelma

Kyberturvallisuusasiantuntijat ovat paljastaneet CypherRAT- ja CraxsRAT-etäkäyttötroijalaisten (RAT) kehittämisestä vastaavan henkilön todellisen henkilöllisyyden.

Tämän online-aliaksella "EVLF DEV" toimineen ja Syyriassa viimeiset kahdeksan vuotta toimineen uhkatoimijan uskotaan tuottaneen yli 75 000 dollaria jakamalla näitä kahta RAT:ta erilaisille uhkaaville tahoille. Ilmoitetut tiedot osoittavat myös, että tämä henkilö toimii Malware-as-a-Service (MaaS) -operaattorina.

Viimeisen kolmen vuoden ajan EVLF DEV on tarjonnut CraxsRAT:ia, jota pidetään yhtenä haitallisimmista ja kehittyneimmistä Android RAT:ista. Tämä RAT on ollut saatavilla pintaverkkokaupassa, ja tähän mennessä on myyty noin 100 elinikäistä lisenssiä.

CraxsRAT Android -haittaohjelma on erittäin muokattavissa

CraxsRAT luo monimutkaisesti hämärtyneitä paketteja, jotka antavat haitallisille toimijoille mahdollisuuden räätälöidä sisältöään aiotun hyökkäyksen tyypin mukaan, mukaan lukien WebView-sivujen lisäykset. Uhkatoimijat voivat vapaasti määrittää sovelluksen nimen ja kuvakkeen laitteen tunkeutumista varten sekä haittaohjelmien erityiset toiminnot.

Lisäksi rakentaja sisältää pika-asennusominaisuuden, joka luo sovelluksia minimaalisilla asennusoikeuksilla havaitsemisen välttämiseksi. Asennuksen jälkeen uhkatekijä säilyttää kuitenkin mahdollisuuden pyytää lisäkäyttöoikeuksien aktivointia.

Tämä troijalainen hyödyntää Androidin esteettömyyspalveluita saadakseen käyttöönsä erilaisia ominaisuuksia, kuten näppäinlokituksen, kosketusnäytön manipuloinnin ja automaattisen valinnan. CraxsRATin laaja valikoima ominaisuuksia kattaa tehtäviä, kuten laitteen näytön tallentamisen ja suoratoiston. Se pystyy hankkimaan tallenteita tai osallistumaan reaaliaikaiseen valvontaan puhelimen mikrofonin ja sekä etu- että takakameroiden avulla. Troijalainen voi seurata rikotun laitteen sijaintia maantieteellisen sijainnin avulla tai seuraamalla reaaliaikaisia liikkeitä. Tämän seurauksena se pystyy paikantamaan uhrin tarkan sijainnin.

"Super mod" -vaihtoehto on myös kyberrikollisten käytettävissä, jotta CraxsRAT saadaan kestämään poistamista tartunnan saaneista laitteista. Tämä saavutetaan käynnistämällä kaatuminen aina, kun sovelluksen asennusyritys havaitaan.

CraxsRAT varastaa arkaluonteisia ja yksityisiä uhrien laitteita

CraxsRAT on myös varustettu sovellusten hallintaan. Tämä sisältää tehtäviä, kuten asennettujen sovellusten luettelon hankkimisen, niiden ottaminen käyttöön tai poistaminen käytöstä, avaaminen tai sulkeminen ja jopa poistaminen. Näytön ohjauksen lisäksi CraxsRAT pystyy lukitsemaan tai avaamaan näytön, ja se voi tummentaa näyttöä peittääkseen sen haitalliset toiminnot. Haittaohjelma laajentaa ominaisuuksiaan tiedostojen hallintatehtäviin, kuten tiedostojen avaamiseen, siirtämiseen, kopioimiseen, lataamiseen, lataamiseen, salaukseen ja salauksen purkamiseen.

CraxsRATilla on kyky valvoa käytettyjä verkkosivustoja ja pakottaa tiettyjen sivujen avaaminen. Tämä RAT voi käynnistää tartuntaketjuja joko lataamalla ja suorittamalla hyötykuormia itse tai huijaamalla uhreja tekemään niin väkisin avattujen haitallisten verkkosivustojen kautta. Tämän seurauksena teoriassa tätä ohjelmaa voitaisiin käyttää erikoistuneempien troijalaisten, kiristysohjelmien ja muiden haittaohjelmien sisältämien laitteiden istuttamiseen.

CraxsRAT pystyy käsittelemään puhelimen yhteystietoja lukemalla, poistamalla ja lisäämällä uusia. Lisäksi uhkausohjelma on taitava tutkimaan puhelulokeja (mukaan lukien saapuvat, lähtevät ja vastaamattomat puhelut), tallentamaan puheluita ja jopa aloittamaan puheluita. Samoin troijalainen voi käyttää tekstiviestejä (sekä lähetettyjä että vastaanotettuja sekä luonnoksia) ja lähettää niitä. Nämä puheluihin ja tekstiviesteihin liittyvät ominaisuudet asettavat CraxsRAT:n käytettäväksi Toll Fraud -haittaohjelmana.

RAT pystyy käyttämään leikepöydälle tallennettua sisältöä (eli kopioi-liitä puskuria). CraxsRAT kohdistaa myös useita tilejä ja niiden kirjautumistietoja. Sen mainosmateriaalissa lueteltujen esimerkkien joukossa ovat määrittelemättömät sähköpostit, Facebook- ja Telegram-tilit.

On tärkeää korostaa, että haittaohjelmien kehittäjät usein parantavat ohjelmistojaan, eikä CraxsRAT eroa toisistaan. Näin ollen näillä infektioilla ei ole vain monimuotoisuutta niiden mukautettavissa olevan luonteensa vuoksi, vaan niissä on myös vaihteluita uusien ominaisuuksien käyttöönoton vuoksi.