CraxsRAT mobil skadelig programvare

Eksperter på nettsikkerhet har angivelig avdekket den sanne identiteten til personen som er ansvarlig for å utvikle Remote Access Trojans (RATs) kjent som CypherRAT og CraxsRAT.

Denne trusselaktøren, som har operert under onlinealiaset 'EVLF DEV' og basert i Syria de siste åtte årene, antas å ha generert mer enn $75 000 ved å distribuere disse to RAT-ene til ulike truende enheter. Den avslørte informasjonen indikerer også at denne personen fungerer som en Malware-as-a-Service (MaaS)-operatør.

De siste tre årene har EVLF DEV tilbudt CraxsRAT, som regnes som en av de mer skadelige og sofistikerte Android RATene. Denne RAT har vært tilgjengelig på en overflatenettbutikk, med omtrent 100 livstidslisenser solgt så langt.

CraxsRAT Android Malware er svært tilpassbar

CraxsRAT genererer intrikate skjulte pakker, og gir ondsinnede aktører fleksibiliteten til å skreddersy innholdet deres basert på den tiltenkte typen angrep, inkludert WebView-sideinjeksjoner. Trusselaktørene har friheten til å bestemme appens navn og ikon for enhetsinfiltrasjon, samt de spesifikke funksjonene skadevare vil ha.

I tillegg har byggherren en hurtiginstallasjonsfunksjon som lager applikasjoner med minimale installasjonstillatelser for å unngå gjenkjenning. Etter installasjonen beholder trusselaktøren imidlertid muligheten til å be om aktivering av ytterligere tillatelser.

Denne trojaneren utnytter Android Accessibility Services for å få en rekke funksjoner, inkludert tastelogging, berøringsskjermmanipulering og automatisk valg av alternativer. Det omfattende utvalget av CraxsRATs evner omfatter oppgaver som opptak og live-streaming av enhetens skjerm. Den er i stand til å skaffe opptak eller delta i sanntidsovervåking ved hjelp av telefonens mikrofon og både front- og bakkamera. Trojaneren kan spore den ødelagte enhetens plassering gjennom geolokalisering eller ved å overvåke levende bevegelser. Som et resultat har den muligheten til å finne offerets nøyaktige plassering.

Et "super mod"-alternativ er også tilgjengelig for nettkriminelle for å gjøre CraxsRAT motstandsdyktig mot fjerning fra infiserte enheter. Dette oppnås ved å utløse et krasj hver gang et forsøk på å avinstallere appen oppdages.

CraxsRAT stjeler sensitive og private dataofres enheter

CraxsRAT er også utstyrt for å administrere applikasjoner. Dette inkluderer oppgaver som å få tak i listen over installerte applikasjoner, aktivere eller deaktivere dem, åpne eller lukke og til og med slette dem. Ved siden av skjermkontroll har CraxsRAT kapasitet til å låse eller låse opp skjermen, og den kan gjøre skjermen mørkere for å skjule dens ondsinnede handlinger. Skadevaren utvider sine muligheter til filbehandlingsoppgaver, som å åpne, flytte, kopiere, laste ned, laste opp, kryptere og dekryptere filer.

CraxsRAT har evnen til å overvåke tilgjengelige nettsteder og håndheve åpningen av spesifikke sider. Denne RAT kan starte infeksjonskjeder enten ved å laste ned og utføre nyttelaster selv eller ved å lure ofre til å gjøre det gjennom tvangsåpnede ondsinnede nettsteder. Som et resultat, i teorien, kan dette programmet brukes til å implantere enheter med mer spesialiserte trojanere, løsepengeprogramvare og andre former for skadelig programvare.

CraxsRAT har kapasitet til å manipulere telefonens kontakter ved å lese, slette og legge til nye. I tillegg er det truende programmet dyktig i å undersøke anropslogger (inkludert innkommende, utgående og tapte anrop), ta opp telefonsamtaler og til og med starte anrop. På samme måte kan trojaneren få tilgang til SMS-meldinger (både sendt og mottatt, samt utkast) og sende dem. Disse funksjonene knyttet til telefonsamtaler og tekstmeldinger posisjonerer CraxsRAT til å bli brukt som Toll Fraud malware.

RAT er i stand til å få tilgang til innhold som er lagret i utklippstavlen (dvs. kopier-lim-bufferen). CraxsRAT retter seg også mot ulike kontoer og deres påloggingsinformasjon. Blant eksemplene som er oppført i reklamematerialet, er uspesifiserte e-poster, Facebook- og Telegram-kontoer.

Det er viktig å fremheve at skadevareutviklere ofte avgrenser programvaren sin, og CraxsRAT er ikke annerledes. Følgelig viser disse infeksjonene ikke bare mangfold på grunn av deres tilpassbare natur, men viser også variasjoner på grunn av introduksjonen av nylig integrerte funksjoner.