Perisian Hasad Mudah Alih CraxsRAT

Pakar keselamatan siber dilaporkan telah mendedahkan identiti sebenar individu yang bertanggungjawab membangunkan Trojan Akses Jauh (RAT) yang dikenali sebagai CypherRAT dan CraxsRAT.

Beroperasi di bawah alias dalam talian 'EVLF DEV' dan berpangkalan di Syria sejak lapan tahun lalu, aktor ancaman ini dipercayai telah menjana lebih daripada $75,000 dengan mengedarkan kedua-dua RAT ini kepada pelbagai entiti yang mengancam. Maklumat yang didedahkan juga menunjukkan bahawa individu ini berfungsi sebagai pengendali Malware-as-a-Service (MaaS).

Selama tiga tahun yang lalu, EVLF DEV telah menawarkan CraxsRAT, yang dianggap sebagai salah satu RAT Android yang lebih berbahaya dan canggih. RAT ini telah tersedia di kedai Web permukaan, dengan kira-kira 100 lesen seumur hidup dijual setakat ini.

Perisian Hasad Android CraxsRAT Sangat Boleh Disesuaikan

CraxsRAT menjana pakej yang dikaburkan dengan rumit, memberikan pelakon yang berniat jahat kelonggaran untuk menyesuaikan kandungan mereka berdasarkan jenis serangan yang dimaksudkan, termasuk suntikan halaman WebView. Pelakon ancaman mempunyai kebebasan untuk menentukan nama dan ikon apl untuk penyusupan peranti, serta fungsi khusus yang akan dimiliki oleh perisian hasad.

Tambahan pula, pembina menggabungkan ciri pemasangan pantas yang menghasilkan aplikasi dengan kebenaran pemasangan minimum untuk mengelakkan pengesanan. Walau bagaimanapun, selepas pemasangan, pelaku ancaman mengekalkan keupayaan untuk meminta pengaktifan kebenaran tambahan.

Trojan ini memanfaatkan Perkhidmatan Kebolehcapaian Android untuk memperoleh pelbagai ciri, termasuk pengelogan kekunci, manipulasi skrin sentuh dan pemilihan pilihan automatik. Rangkaian luas keupayaan CraxsRAT merangkumi tugas seperti merakam dan menstrim langsung skrin peranti. Ia mampu memperoleh rakaman atau terlibat dalam pengawasan masa nyata menggunakan mikrofon telefon dan kedua-dua kamera depan dan belakang. Trojan boleh menjejaki lokasi peranti yang dilanggar melalui geolokasi atau dengan memantau pergerakan langsung. Akibatnya, ia mempunyai keupayaan untuk menentukan lokasi sebenar mangsa.

Pilihan 'mod super' juga tersedia untuk penjenayah siber untuk menjadikan CraxsRAT tahan terhadap penyingkiran daripada peranti yang dijangkiti. Ini dicapai dengan mencetuskan ranap sistem setiap kali percubaan untuk menyahpasang apl dikesan.

CraxsRAT Mencuri Peranti Data Sensitif dan Peribadi Mangsa

CraxsRAT juga dilengkapi untuk mengurus aplikasi. Ini termasuk tugas seperti mendapatkan senarai aplikasi yang dipasang, mendayakan atau melumpuhkannya, membuka atau menutup, dan juga memadamkannya. Di samping kawalan skrin, CraxsRAT mempunyai kapasiti untuk mengunci atau membuka kunci skrin, dan ia boleh menggelapkan skrin untuk mengaburkan tindakan berniat jahatnya. Malware meluaskan keupayaannya kepada tugas pengurusan fail, seperti membuka, mengalih, menyalin, memuat turun, memuat naik, menyulitkan dan menyahsulit fail.

CraxsRAT mempunyai keupayaan untuk memantau tapak web yang diakses dan menguatkuasakan pembukaan halaman tertentu. RAT ini boleh memulakan rantaian jangkitan sama ada dengan memuat turun dan melaksanakan muatan sendiri atau dengan memperdaya mangsa untuk berbuat demikian melalui tapak web berniat jahat yang dibuka secara paksa. Akibatnya, secara teori, program ini boleh digunakan untuk menanam peranti dengan trojan yang lebih khusus, perisian tebusan dan bentuk perisian hasad yang lain.

CraxsRAT mempunyai kapasiti untuk memanipulasi kenalan telefon dengan membaca, memadam dan menambah kenalan baharu. Selain itu, program mengancam itu mahir dalam memeriksa log panggilan (termasuk panggilan masuk, keluar dan terlepas), merakam perbualan telefon dan juga memulakan panggilan. Begitu juga, Trojan boleh mengakses mesej SMS (kedua-duanya dihantar dan diterima, serta draf) dan menghantarnya. Ciri ini berkaitan dengan panggilan telefon dan mesej teks meletakkan CraxsRAT untuk digunakan sebagai perisian hasad Penipuan Tol.

RAT boleh mengakses kandungan yang disimpan dalam papan keratan (iaitu, penimbal salin-tampal). CraxsRAT juga menyasarkan pelbagai akaun dan kelayakan log masuk mereka. Antara contoh yang disenaraikan dalam bahan promosinya ialah e-mel yang tidak dinyatakan, akaun Facebook dan Telegram.

Adalah penting untuk menyerlahkan bahawa pembangun perisian hasad sering memperhalusi perisian mereka, dan CraxsRAT tidak berbeza. Akibatnya, jangkitan ini bukan sahaja menunjukkan kepelbagaian kerana sifatnya yang boleh disesuaikan tetapi juga menunjukkan variasi disebabkan pengenalan ciri yang baru digabungkan.