Malware mobile CraxsRAT

Secondo quanto riferito, gli esperti di sicurezza informatica hanno scoperto la vera identità dell'individuo responsabile dello sviluppo dei trojan di accesso remoto (RAT) noti come CypherRAT e CraxsRAT.

Operando sotto lo pseudonimo online "EVLF DEV" e con sede in Siria negli ultimi otto anni, si ritiene che questo attore di minacce abbia generato più di 75.000 dollari distribuendo questi due RAT a varie entità minacciose. Le informazioni divulgate indicano inoltre che questa persona funge da operatore Malware-as-a-Service (MaaS).

Negli ultimi tre anni, EVLF DEV ha offerto CraxsRAT, considerato uno dei RAT Android più dannosi e sofisticati. Questo RAT è stato disponibile su un negozio Web di superficie, con circa 100 licenze a vita vendute finora.

Il malware Android CraxsRAT è altamente personalizzabile

CraxsRAT genera pacchetti complessamente offuscati, garantendo agli autori malintenzionati la flessibilità di personalizzare i propri contenuti in base al tipo di attacco previsto, comprese le iniezioni di pagine WebView. Gli autori delle minacce hanno la libertà di determinare il nome e l'icona dell'app per l'infiltrazione nel dispositivo, nonché le funzionalità specifiche che il malware possiederà.

Inoltre, il builder incorpora una funzionalità di installazione rapida che crea applicazioni con autorizzazioni di installazione minime per eludere il rilevamento. Tuttavia, dopo l'installazione, l'autore della minaccia conserva la possibilità di richiedere l'attivazione di autorizzazioni aggiuntive.

Questo trojan sfrutta i servizi di accessibilità Android per ottenere una varietà di funzionalità, tra cui keylogging, manipolazione del touchscreen e selezione automatica delle opzioni. L'ampia gamma di funzionalità di CraxsRAT comprende attività come la registrazione e lo streaming live dello schermo del dispositivo. È in grado di acquisire registrazioni o effettuare sorveglianza in tempo reale utilizzando il microfono del telefono e le fotocamere anteriore e posteriore. Il Trojan può tracciare la posizione del dispositivo violato attraverso la geolocalizzazione o monitorando i movimenti in tempo reale. Di conseguenza, ha la capacità di individuare la posizione esatta della vittima.

Per i criminali informatici è disponibile anche un'opzione "super mod" per rendere CraxsRAT resistente alla rimozione dai dispositivi infetti. Ciò si ottiene attivando un arresto anomalo ogni volta che viene rilevato un tentativo di disinstallare l'app.

CraxsRAT ruba i dispositivi delle vittime di dati sensibili e privati

CraxsRAT è anche attrezzato per gestire le applicazioni. Ciò include attività come ottenere l'elenco delle applicazioni installate, abilitarle o disabilitarle, aprirle o chiuderle e persino eliminarle. Oltre al controllo dello schermo, CraxsRAT ha la capacità di bloccare o sbloccare lo schermo e può scurirlo per nascondere le sue azioni dannose. Il malware estende le sue capacità alle attività di gestione dei file, come l'apertura, lo spostamento, la copia, il download, il caricamento, la crittografia e la decrittografia dei file.

CraxsRAT possiede la capacità di monitorare i siti Web a cui si accede e imporre l'apertura di pagine specifiche. Questo RAT può avviare catene di infezione scaricando ed eseguendo esso stesso i payload o inducendo le vittime a farlo attraverso siti Web dannosi aperti con la forza. Di conseguenza, in teoria, questo programma potrebbe essere utilizzato per impiantare nei dispositivi trojan, ransomware e altre forme di malware più specializzati.

CraxsRAT ha la capacità di manipolare i contatti del telefono leggendone, cancellandoli e aggiungendone di nuovi. Inoltre, il programma minaccioso è abile nell'esaminare i registri delle chiamate (comprese le chiamate in entrata, in uscita e perse), nel registrare conversazioni telefoniche e persino nell'avviare chiamate. Allo stesso modo, il Trojan può accedere ai messaggi SMS (sia inviati che ricevuti, nonché alle bozze) e inviarli. Queste funzionalità relative alle telefonate e ai messaggi di testo consentono a CraxsRAT di essere utilizzato come malware per frode tariffaria.

Il RAT è in grado di accedere al contenuto archiviato negli appunti (ovvero, nel buffer copia-incolla). CraxsRAT prende di mira anche vari account e le relative credenziali di accesso. Tra gli esempi elencati nel suo materiale promozionale ci sono email non specificate, account Facebook e Telegram.

È importante sottolineare che gli sviluppatori di malware spesso perfezionano il proprio software e CraxsRAT non è diverso. Di conseguenza, queste infezioni non solo mostrano diversità dovuta alla loro natura personalizzabile, ma mostrano anche variazioni dovute all’introduzione di nuove funzionalità incorporate.