CraxsRAT mobilni zlonamjerni softver

Stručnjaci za kibernetičku sigurnost navodno su otkrili pravi identitet pojedinca odgovornog za razvoj trojanaca za udaljeni pristup (RAT) poznatih kao CypherRAT i CraxsRAT.

Djelujući pod online pseudonimom 'EVLF DEV' i sa sjedištem u Siriji posljednjih osam godina, vjeruje se da je ovaj akter prijetnje zaradio više od 75.000 dolara distribucijom ova dva RAT-a raznim prijetećim subjektima. Objavljene informacije također pokazuju da ta osoba služi kao operater Malware-as-a-Service (MaaS).

Posljednje tri godine EVLF DEV nudi CraxsRAT, koji se smatra jednim od štetnijih i sofisticiranijih Android RAT-ova. Ovaj RAT je bio dostupan u površinskoj web trgovini, s približno 100 doživotnih licenci prodanih do sada.

Zlonamjerni softver CraxsRAT za Android vrlo je prilagodljiv

CraxsRAT generira zamršeno zamagljene pakete, dajući zlonamjernim akterima fleksibilnost da prilagode svoj sadržaj na temelju namjeravane vrste napada, uključujući ubacivanje WebView stranice. Akteri prijetnji imaju slobodu odrediti naziv aplikacije i ikonu za infiltraciju uređaja, kao i specifične funkcije koje će zlonamjerni softver posjedovati.

Nadalje, program za izgradnju uključuje značajku brze instalacije koja izrađuje aplikacije s minimalnim dopuštenjima za instaliranje kako bi se izbjeglo otkrivanje. Međutim, nakon instalacije, akter prijetnje zadržava mogućnost zahtijevanja aktivacije dodatnih dopuštenja.

Ovaj trojanac iskorištava Android Accessibility Services kako bi dobio niz značajki, uključujući keylogging, upravljanje dodirnim zaslonom i automatski odabir opcija. Opsežan raspon mogućnosti CraxsRAT-a obuhvaća zadatke poput snimanja i prijenosa uživo sa zaslona uređaja. Može prikupiti snimke ili se uključiti u nadzor u stvarnom vremenu pomoću mikrofona telefona te prednje i stražnje kamere. Trojanac može pratiti lokaciju probijenog uređaja putem geolokacije ili praćenjem kretanja uživo. Kao rezultat toga, ima sposobnost odrediti točnu lokaciju žrtve.

Opcija 'super moda' također je dostupna kibernetičkim kriminalcima kako bi CraxsRAT bio otporan na uklanjanje sa zaraženih uređaja. To se postiže pokretanjem rušenja svaki put kada se otkrije pokušaj deinstalacije aplikacije.

CraxsRAT krade osjetljive i privatne podatke s uređaja žrtava

CraxsRAT je također opremljen za upravljanje aplikacijama. To uključuje zadatke kao što je dobivanje popisa instaliranih aplikacija, njihovo omogućavanje ili onemogućavanje, otvaranje ili zatvaranje, pa čak i njihovo brisanje. Uz kontrolu zaslona, CraxsRAT ima mogućnost zaključavanja ili otključavanja zaslona te može potamniti zaslon kako bi prikrio svoje zlonamjerne radnje. Zlonamjerni softver proširuje svoje mogućnosti na zadatke upravljanja datotekama, kao što su otvaranje, premještanje, kopiranje, preuzimanje, učitavanje, šifriranje i dekriptiranje datoteka.

CraxsRAT posjeduje mogućnost nadzora pristupanih web stranica i prisilnog otvaranja određenih stranica. Ovaj RAT može pokrenuti lanac zaraze bilo samim preuzimanjem i izvršavanjem korisnih sadržaja ili tako što će prevariti žrtve da to učine putem nasilno otvorenih zlonamjernih web stranica. Kao rezultat toga, u teoriji, ovaj bi se program mogao koristiti za ugradnju u uređaje specijaliziranijih trojanaca, ransomwarea i drugih oblika zlonamjernog softvera.

CraxsRAT ima sposobnost manipuliranja telefonskim kontaktima čitanjem, brisanjem i dodavanjem novih. Uz to, prijeteći program vješt je u ispitivanju zapisa poziva (uključujući dolazne, odlazne i propuštene pozive), snimanju telefonskih razgovora, pa čak i upućivanju poziva. Slično, trojanac može pristupiti SMS porukama (i poslanim i primljenim, kao i nacrtima) i poslati ih. Ove značajke povezane s telefonskim pozivima i tekstualnim porukama pozicioniraju CraxsRAT da se koristi kao zlonamjerni softver Toll Fraud.

RAT može pristupiti sadržaju pohranjenom u međuspremniku (tj. međuspremniku za kopiranje i lijepljenje). CraxsRAT također cilja na različite račune i njihove vjerodajnice za prijavu. Među primjerima navedenim u promotivnom materijalu su neodređene e-pošte, Facebook i Telegram računi.

Važno je naglasiti da programeri zlonamjernog softvera često usavršavaju svoj softver, a CraxsRAT nije ništa drugačiji. Posljedično, ove infekcije ne samo da pokazuju raznolikost zbog svoje prilagodljive prirode, već pokazuju i varijacije zbog uvođenja novoinkorporiranih značajki.