CraxsRAT Mobile ļaunprātīga programmatūra

Tiek ziņots, ka kiberdrošības eksperti ir atklājuši tās personas patieso identitāti, kas ir atbildīga par attālās piekļuves Trojas zirgu (RAT), kas pazīstami kā CypherRAT un CraxsRAT, izstrādi.

Tiek uzskatīts, ka šis apdraudējuma dalībnieks, kas darbojas ar tiešsaistes pseidonīmu “EVLF DEV” un pēdējos astoņus gadus atrodas Sīrijā, ir nopelnījis vairāk nekā 75 000 $, izdalot šos divus RAT dažādām draudošām vienībām. Izpaustā informācija arī norāda, ka šī persona darbojas kā Malware-as-a-Service (MaaS) operators.

Pēdējos trīs gadus EVLF DEV ir piedāvājis CraxsRAT, kas tiek uzskatīts par vienu no kaitīgākajiem un sarežģītākajiem Android RAT. Šis RAT ir bijis pieejams virszemes interneta veikalā, un līdz šim ir pārdotas aptuveni 100 licences uz mūžu.

CraxsRAT Android ļaunprātīgā programmatūra ir ļoti pielāgojama

CraxsRAT ģenerē sarežģīti neskaidras pakotnes, nodrošinot ļaunprātīgiem dalībniekiem elastību, lai pielāgotu savu saturu, pamatojoties uz paredzēto uzbrukuma veidu, tostarp WebView lapu injekcijām. Apdraudējuma dalībnieki var brīvi noteikt lietotnes nosaukumu un ikonu, lai iefiltrētos ierīcē, kā arī ļaunprogrammatūras īpašās funkcijas.

Turklāt veidotājs ietver ātrās instalēšanas funkciju, kas izstrādā lietojumprogrammas ar minimālām instalēšanas atļaujām, lai izvairītos no atklāšanas. Tomēr pēc instalēšanas draudu dalībnieks saglabā iespēju pieprasīt papildu atļauju aktivizēšanu.

Šis Trojas zirgs izmanto Android pieejamības pakalpojumus, lai iegūtu dažādas funkcijas, tostarp taustiņu reģistrēšanu, skārienekrāna manipulācijas un automātisku opciju atlasi. Plašais CraxsRAT iespēju klāsts ietver tādus uzdevumus kā ierakstīšana un ierīces ekrāna tiešraides straumēšana. Tas spēj iegūt ierakstus vai iesaistīties reāllaika novērošanā, izmantojot tālruņa mikrofonu un gan priekšējo, gan aizmugurējo kameru. Trojas zirgs var izsekot bojātās ierīces atrašanās vietai, izmantojot ģeogrāfisko atrašanās vietu vai uzraugot tiešās kustības. Rezultātā tas spēj precīzi noteikt upura atrašanās vietu.

Kibernoziedzniekiem ir pieejama arī “supermod” opcija, lai padarītu CraxsRAT izturīgu pret izņemšanu no inficētām ierīcēm. Tas tiek panākts, aktivizējot avāriju ikreiz, kad tiek atklāts mēģinājums atinstalēt lietotni.

CraxsRAT nozog sensitīvus un privātus datus par upuriem

CraxsRAT ir arī aprīkots, lai pārvaldītu lietojumprogrammas. Tas ietver tādus uzdevumus kā instalēto lietojumprogrammu saraksta iegūšana, to iespējošana vai atspējošana, atvēršana vai aizvēršana un pat dzēšana. Līdzās ekrāna vadībai CraxsRAT var bloķēt vai atbloķēt ekrānu, un tas var padarīt ekrānu tumšāku, lai aizklātu tā ļaunprātīgās darbības. Ļaunprātīga programmatūra paplašina savas iespējas, iekļaujot failu pārvaldības uzdevumus, piemēram, failu atvēršanu, pārvietošanu, kopēšanu, lejupielādi, augšupielādi, šifrēšanu un atšifrēšanu.

CraxsRAT ir iespēja pārraudzīt apmeklētās vietnes un nodrošināt noteiktu lapu atvēršanu. Šis RAT var ierosināt infekcijas ķēdes, vai nu pati lejupielādējot un izpildot lietderīgās slodzes, vai arī maldinot upurus, izmantojot piespiedu kārtā atvērtas ļaunprātīgas vietnes. Tā rezultātā teorētiski šo programmu varētu izmantot, lai implantētu ierīces ar specializētākiem Trojas zirgiem, izpirkuma programmām un cita veida ļaunprātīgu programmatūru.

CraxsRAT ir iespēja manipulēt ar tālruņa kontaktiem, lasot, dzēšot un pievienojot jaunus. Turklāt draudu programma spēj pārbaudīt zvanu žurnālus (tostarp ienākošos, izejošos un neatbildētos zvanus), ierakstīt tālruņa sarunas un pat uzsākt zvanus. Tāpat Trojas zirgs var piekļūt SMS ziņām (gan nosūtītajām, gan saņemtajām, kā arī melnrakstiem) un tās nosūtīt. Šīs funkcijas, kas saistītas ar tālruņa zvaniem un īsziņām, novieto CraxsRAT, lai to izmantotu kā ļaunprātīgu programmatūru Toll Fraud.

RAT var piekļūt starpliktuvē saglabātajam saturam (ti, kopēšanas un ielīmēšanas buferim). CraxsRAT mērķauditorija ir arī dažādi konti un to pieteikšanās akreditācijas dati. Starp piemēriem, kas uzskaitīti tās reklāmas materiālos, ir neprecizēti e-pasta ziņojumi, Facebook un Telegram konti.

Ir svarīgi uzsvērt, ka ļaunprātīgas programmatūras izstrādātāji bieži pilnveido savu programmatūru, un CraxsRAT neatšķiras. Līdz ar to šīm infekcijām ir ne tikai daudzveidība to pielāgojamā rakstura dēļ, bet arī atšķirības, ko izraisa tikko iekļautu funkciju ieviešana.