„CraxsRAT Mobile“ kenkėjiška programa

Pranešama, kad kibernetinio saugumo ekspertai atskleidė tikrąją asmens, atsakingo už nuotolinės prieigos Trojos arklių (RAT), žinomų kaip CypherRAT ir CraxsRAT, kūrimą.

Manoma, kad šis grėsmės veikėjas, veikęs internetiniu slapyvardžiu „EVLF DEV“ ir pastaruosius aštuonerius metus gyvenęs Sirijoje, uždirbo daugiau nei 75 000 USD, išdalindamas šiuos du RAT įvairiems grėsmingiems subjektams. Atskleista informacija taip pat rodo, kad šis asmuo veikia kaip kenkėjiškų programų (MaaS) operatorius.

Pastaruosius trejus metus EVLF DEV siūlo CraxsRAT, kuris laikomas vienu žalingiausių ir sudėtingesnių Android RAT. Šis RAT buvo prieinamas paviršinėje internetinėje parduotuvėje, iki šiol parduota maždaug 100 licencijų visam gyvenimui.

„CraxsRAT Android“ kenkėjiška programa yra labai pritaikoma

„CraxsRAT“ generuoja sudėtingai užmaskuotus paketus, suteikdamas kenkėjiškiems veikėjams lankstumo pritaikyti savo turinį pagal numatomą atakos tipą, įskaitant „WebView“ puslapių injekcijas. Grėsmės subjektai turi laisvę nustatyti programos pavadinimą ir piktogramą, kad būtų galima įsiskverbti į įrenginį, taip pat konkrečias funkcijas, kurias turės kenkėjiška programa.

Be to, kūrėjas turi greito diegimo funkciją, kuri sukuria programas su minimaliais diegimo leidimais, kad būtų išvengta aptikimo. Tačiau po įdiegimo grėsmės veikėjas išlaiko galimybę prašyti suaktyvinti papildomus leidimus.

Šis Trojos arklys naudoja Android pritaikymo neįgaliesiems paslaugas, kad įgytų įvairių funkcijų, įskaitant klaviatūros registravimą, jutiklinio ekrano manipuliavimą ir automatinį parinkčių pasirinkimą. Platus CraxsRAT galimybių spektras apima tokias užduotis kaip įrašymas ir tiesioginis įrenginio ekrano transliavimas. Jis gali gauti įrašus arba stebėti realiuoju laiku naudojant telefono mikrofoną ir priekinę bei galinę kameras. Trojos arklys gali sekti pažeisto įrenginio vietą pagal geografinę vietą arba stebėdamas tiesioginius judesius. Dėl to jis turi galimybę tiksliai nustatyti aukos vietą.

Kibernetiniams nusikaltėliams taip pat prieinama „super mod“ parinktis, kad CraxsRAT būtų atsparus pašalinimui iš užkrėstų įrenginių. Tai pasiekiama suaktyvinant strigtį kiekvieną kartą, kai aptinkamas bandymas pašalinti programą.

„CraxsRAT“ vagia jautrius ir privačius duomenų aukų įrenginius

„CraxsRAT“ taip pat yra pritaikyta programoms valdyti. Tai apima tokias užduotis kaip įdiegtų programų sąrašo gavimas, jų įjungimas arba išjungimas, atidarymas, uždarymas ir net ištrynimas. Be ekrano valdymo, „CraxsRAT“ gali užrakinti arba atrakinti ekraną, taip pat gali užtemdyti ekraną, kad užstotų kenkėjiškus veiksmus. Kenkėjiška programa išplečia savo galimybes ir apima failų tvarkymo užduotis, tokias kaip failų atidarymas, perkėlimas, kopijavimas, atsisiuntimas, įkėlimas, šifravimas ir iššifravimas.

„CraxsRAT“ turi galimybę stebėti atidarytas svetaines ir priverstinai atverti konkrečius puslapius. Šis RAT gali inicijuoti užkrėtimo grandines arba pats atsisiųsdamas ir vykdydamas naudingus krovinius, arba apgaudinėdamas aukas, kad tai padarytų per priverstinai atidarytas kenkėjiškas svetaines. Dėl to teoriškai šią programą būtų galima panaudoti implantuojant įrenginius su labiau specializuotais Trojos arkliais, išpirkos programomis ir kitomis kenkėjiškomis programomis.

CraxsRAT gali manipuliuoti telefono kontaktais skaitydamas, ištrindamas ir pridėdamas naujų. Be to, grėsminga programa moka nagrinėti skambučių žurnalus (įskaitant įeinančius, išeinančius ir praleistus skambučius), įrašyti pokalbius telefonu ir net inicijuoti skambučius. Panašiai Trojos arklys gali pasiekti SMS žinutes (tiek išsiųstas, tiek gautas, taip pat juodraščius) ir jas išsiųsti. Šios funkcijos, susijusios su telefono skambučiais ir tekstiniais pranešimais, leidžia CraxsRAT naudoti kaip Toll Fraud kenkėjišką programą.

RAT gali pasiekti iškarpinėje saugomą turinį (ty kopijavimo ir įklijavimo buferį). CraxsRAT taip pat taikoma įvairioms paskyroms ir jų prisijungimo kredencialams. Tarp jos reklaminėje medžiagoje išvardytų pavyzdžių yra nenurodytų elektroninių laiškų, Facebook ir Telegram paskyros.

Svarbu pabrėžti, kad kenkėjiškų programų kūrėjai dažnai tobulina savo programinę įrangą, o CraxsRAT nesiskiria. Todėl šios infekcijos ne tik pasižymi įvairove dėl jų pritaikomo pobūdžio, bet ir skiriasi dėl naujai įtrauktų funkcijų.