CraxsRAT Mobile Malware

Kiberbiztonsági szakértők állítólag felfedték a CypherRAT és CraxsRAT néven ismert Remote Access Trojans (RAT) kifejlesztéséért felelős személy valódi kilétét.

Az „EVLF DEV” online álnéven működő, és az elmúlt nyolc évben Szíriában működő fenyegetett szereplő több mint 75 000 dollárt termelt azzal, hogy ezt a két RAT-ot különböző fenyegető szervezeteknek osztotta szét. A közzétett információk azt is jelzik, hogy ez a személy Malware-as-a-Service (MaaS) operátorként szolgál.

Az elmúlt három évben az EVLF DEV a CraxsRAT-ot kínálja, amely az egyik legkárosabb és kifinomultabb Android RAT-nak számít. Ez a RAT egy felszíni webáruházban volt elérhető, és eddig körülbelül 100 élettartamra szóló licencet adtak el.

A CraxsRAT Android malware nagymértékben testreszabható

A CraxsRAT bonyolultan elhomályosított csomagokat hoz létre, rugalmasságot biztosítva a rosszindulatú szereplőknek, hogy tartalmukat a támadás tervezett típusa szerint szabják, beleértve a WebView oldalbefecskendezést. A fenyegetés szereplői szabadon határozhatják meg az alkalmazás nevét és ikonját az eszközbe való beszivárgás érdekében, valamint a rosszindulatú program konkrét funkcióit.

Ezenkívül az építő gyorstelepítési funkciót is tartalmaz, amely minimális telepítési engedélyekkel hoz létre alkalmazásokat az észlelés elkerülése érdekében. A telepítés után azonban a fenyegetettség szereplője megtartja a lehetőséget, hogy további engedélyek aktiválását kérje.

Ez a trójai az Android Accessibility Services szolgáltatásait kihasználva számos funkciót ér el, beleértve a billentyűnaplózást, az érintőképernyő manipulációját és az automatikus opcióválasztást. A CraxsRAT képességeinek széles skálája olyan feladatokat foglal magában, mint a rögzítés és az eszköz képernyőjének élő közvetítése. Képes felvételeket készíteni vagy valós idejű megfigyelést végezni a telefon mikrofonja és az elülső és hátsó kamerák segítségével. A trójai földrajzi helymeghatározással vagy élő mozgások figyelésével nyomon tudja követni a feltört eszköz helyét. Ennek eredményeként képes meghatározni az áldozat pontos helyét.

A „szuper mod” opció is elérhető a kiberbűnözők számára, hogy a CraxsRAT ellenálló legyen a fertőzött eszközökről való eltávolítással szemben. Ez úgy érhető el, hogy minden alkalommal összeomlik, amikor az alkalmazás eltávolítási kísérletet észlel.

A CraxsRAT ellopja az áldozatok érzékeny és privát adatait

A CraxsRAT az alkalmazások kezelésére is fel van szerelve. Ez magában foglalja az olyan feladatokat, mint a telepített alkalmazások listájának lekérése, engedélyezése vagy letiltása, megnyitása vagy bezárása, sőt törlése is. A képernyővezérlés mellett a CraxsRAT képes lezárni vagy feloldani a képernyőt, és elsötétítheti a képernyőt, hogy eltakarja a rosszindulatú műveleteket. A kártevő kiterjeszti képességeit olyan fájlkezelési feladatokra, mint a fájlok megnyitása, áthelyezése, másolása, letöltése, feltöltése, titkosítása és visszafejtése.

A CraxsRAT képes figyelni az elért webhelyeket, és kikényszeríteni bizonyos oldalak megnyitását. Ez a RAT fertőzési láncokat indíthat el úgy, hogy maga tölti le és hajtja végre a hasznos terheket, vagy erőszakosan megnyitott rosszindulatú webhelyeken keresztül ráveszi az áldozatokat erre. Ennek eredményeként elméletileg ez a program használható speciálisabb trójai programokkal, zsarolóprogramokkal és más rosszindulatú programokkal rendelkező eszközök beültetésére.

A CraxsRAT képes manipulálni a telefon névjegyeit olvasással, törléssel és újak hozzáadásával. Ezenkívül a fenyegető program jártas a hívásnaplók vizsgálatában (beleértve a bejövő, kimenő és nem fogadott hívásokat), telefonbeszélgetések rögzítésében, sőt hívások kezdeményezésében is. Hasonlóképpen, a trójai hozzáférhet az SMS üzenetekhez (mind elküldött, mind fogadott, valamint piszkozatokhoz) és elküldheti azokat. Ezek a telefonhívásokhoz és szöveges üzenetekhez kapcsolódó funkciók a CraxsRAT-ot Toll Fraud kártevőként használják fel.

A RAT képes hozzáférni a vágólapon tárolt tartalmakhoz (azaz a másolás-beillesztés pufferhez). A CraxsRAT különféle fiókokat és azok bejelentkezési adatait is megcélozza. A promóciós anyagában felsorolt példák között vannak meg nem határozott e-mailek, Facebook és Telegram fiókok.

Fontos kiemelni, hogy a rosszindulatú programok fejlesztői gyakran finomítják szoftvereiket, és a CraxsRAT sincs másképp. Következésképpen ezek a fertőzések nemcsak testreszabható természetük miatt mutatnak sokféleséget, hanem az újonnan beépített funkciók bevezetése miatt is eltéréseket mutatnak.