תוכנה זדונית ניידת CraxsRAT

על פי הדיווחים, מומחי אבטחת סייבר חשפו את הזהות האמיתית של האדם האחראי לפיתוח הטרויאנים של גישה מרחוק (RAT) הידועים כ-CypherRAT ו-CraxsRAT.

פועל תחת הכינוי המקוון 'EVLF DEV' ומבוסס בסוריה בשמונה השנים האחרונות, על פי ההערכות, שחקן האיום הזה הפיק יותר מ-75,000 $ על ידי הפצת שני RATs אלה לגופים מאיימים שונים. המידע שנחשף גם מצביע על כך שאדם זה משמש כמפעיל Malware-as-a-Service (MaaS).

בשלוש השנים האחרונות, EVLF DEV מציעה את CraxsRAT, הנחשבת לאחד ממערכות האנדרואיד המזיקות והמשוכללות יותר. RAT זה היה זמין בחנות אינטרנט משטחית, עם כ-100 רישיונות לכל החיים שנמכרו עד כה.

תוכנת זדונית אנדרואיד CraxsRAT ניתנת להתאמה אישית גבוהה

CraxsRAT מייצרת חבילות מעורפלות בצורה מורכבת, ומעניקה לשחקנים זדוניים את הגמישות להתאים את התוכן שלהם על סמך סוג ההתקפה המיועד, כולל הזרקות דפי WebView. לשחקני האיומים יש את החופש לקבוע את שם האפליקציה ואת הסמל לחדירת המכשיר, כמו גם את הפונקציונליות הספציפית שתהיה לתוכנה הזדונית.

יתר על כן, הבונה משלב תכונת התקנה מהירה שמעצבת יישומים עם הרשאות התקנה מינימליות כדי להתחמק מזיהוי. עם זאת, לאחר ההתקנה, שחקן האיום שומר על היכולת לבקש הפעלה של הרשאות נוספות.

טרויאני זה ממנף את שירותי הנגישות של אנדרואיד כדי להשיג מגוון תכונות, כולל רישום מקשים, מניפולציה של מסך מגע ובחירת אופציות אוטומטית. המגוון הנרחב של היכולות של CraxsRAT כולל משימות כמו הקלטה ושידור חי של מסך המכשיר. הוא מסוגל לרכוש הקלטות או לעסוק במעקב בזמן אמת באמצעות המיקרופון של הטלפון והמצלמה הקדמית והאחורית כאחד. הטרויאני יכול לעקוב אחר מיקום המכשיר הפרוץ באמצעות מיקום גיאוגרפי או על ידי ניטור תנועות חיות. כתוצאה מכך, יש לו את היכולת לאתר את מיקומו המדויק של הקורבן.

אפשרות 'סופר מוד' זמינה גם לפושעי סייבר כדי להפוך את ה-CraxsRAT לעמיד בפני הסרה ממכשירים נגועים. זה מושג על ידי הפעלת קריסה בכל פעם שמזהה ניסיון להסיר את האפליקציה.

CraxsRAT גונב מכשירים רגישים ופרטיים של קורבנות נתונים

CraxsRAT מצויד גם לניהול יישומים. זה כולל משימות כמו השגת רשימת היישומים המותקנים, הפעלתם או השבתתם, פתיחה או סגירה ואפילו מחיקתם. לצד שליטה במסך, ל-CraxsRAT יש את היכולת לנעול או לפתוח את המסך, והוא יכול להכהות את המסך כדי לטשטש את הפעולות הזדוניות שלו. התוכנה הזדונית מרחיבה את יכולותיה למשימות ניהול קבצים, כגון פתיחה, העברה, העתקה, הורדה, העלאה, הצפנה ופענוח של קבצים.

ל-CraxsRAT יש את היכולת לפקח על אתרים שניגשים אליהם ולאכוף פתיחת דפים ספציפיים. RAT זה יכול ליזום שרשראות זיהומים על ידי הורדה וביצוע של מטענים בעצמם או על ידי הונאת קורבנות לעשות זאת באמצעות אתרי אינטרנט זדוניים שנפתחו בכוח. כתוצאה מכך, בתיאוריה, ניתן להשתמש בתוכנית זו כדי להשתיל מכשירים עם סוסים טרויאניים מיוחדים יותר, תוכנות כופר וצורות אחרות של תוכנות זדוניות.

ל-CraxsRAT יש את היכולת לתפעל את אנשי הקשר של הטלפון על ידי קריאה, מחיקה והוספה של חדשים. בנוסף, התוכנית המאיימת בקיאה בבחינת יומני שיחות (כולל שיחות נכנסות, יוצאות ושיחות שלא נענו), הקלטת שיחות טלפון ואפילו ייזום שיחות. באופן דומה, הטרויאני יכול לגשת להודעות SMS (הן שנשלחו והן התקבלו, כמו גם טיוטות) ולשלוח אותן. תכונות אלה הקשורות לשיחות טלפון והודעות טקסט מציבות את CraxsRAT לשימוש כתוכנה זדונית של הונאה באגרה.

ה-RAT מסוגל לגשת לתוכן המאוחסן בלוח (כלומר, מאגר העתק-הדבק). CraxsRAT מתמקד גם בחשבונות שונים ובאישורי הכניסה שלהם. בין הדוגמאות המפורטות בחומר הפרסומי שלה ניתן למצוא מיילים לא מוגדרים, חשבונות פייסבוק וטלגרם.

חשוב להדגיש שלעתים קרובות מפתחי תוכנות זדוניות משכללים את התוכנה שלהם, ו-CraxsRAT אינו שונה. כתוצאה מכך, זיהומים אלה לא רק מפגינים גיוון בשל אופיים הניתנים להתאמה אישית, אלא גם מציגים וריאציות עקב הצגת תכונות חדשות ששולבו.