CraxsRAT mobiele malware

Cybersecurity-experts hebben naar verluidt de ware identiteit ontdekt van de persoon die verantwoordelijk is voor de ontwikkeling van de Remote Access Trojans (RAT's), bekend als CypherRAT en CraxsRAT.

Opererend onder de online alias 'EVLF DEV' en gevestigd in Syrië gedurende de afgelopen acht jaar, wordt aangenomen dat deze dreigingsactoren meer dan $75.000 heeft gegenereerd door deze twee RAT's te verspreiden onder verschillende bedreigende entiteiten. De openbaar gemaakte informatie geeft ook aan dat deze persoon fungeert als Malware-as-a-Service (MaaS)-operator.

De afgelopen drie jaar heeft EVLF DEV CraxsRAT aangeboden, dat wordt beschouwd als een van de schadelijkere en geavanceerdere Android RAT's. Deze RAT is beschikbaar in een gewone webwinkel, met tot nu toe ongeveer 100 levenslange licenties verkocht.

De CraxsRAT Android-malware is zeer aanpasbaar

CraxsRAT genereert ingewikkeld versluierde pakketten, waardoor kwaadwillende actoren de flexibiliteit krijgen om hun inhoud aan te passen op basis van het beoogde type aanval, inclusief WebView-pagina-injecties. De bedreigingsactoren hebben de vrijheid om de naam en het pictogram van de app voor apparaatinfiltratie te bepalen, evenals de specifieke functionaliteiten die de malware zal bezitten.

Bovendien bevat de bouwer een snelle installatiefunctie die applicaties maakt met minimale installatierechten om detectie te omzeilen. Na de installatie behoudt de bedreigingsacteur echter de mogelijkheid om de activering van aanvullende machtigingen aan te vragen.

Deze Trojan maakt gebruik van de Android Accessibility Services om een verscheidenheid aan functies te verkrijgen, waaronder keylogging, touchscreen-manipulatie en automatische optieselectie. Het uitgebreide scala aan mogelijkheden van CraxsRAT omvat taken zoals het opnemen en live streamen van het scherm van het apparaat. Het is in staat om opnames te maken of in realtime toezicht te houden met behulp van de microfoon van de telefoon en de camera's aan de voor- en achterkant. De Trojan kan de locatie van het geschonden apparaat volgen via geolocatie of door live bewegingen te monitoren. Als gevolg hiervan heeft het de mogelijkheid om de exacte locatie van het slachtoffer te bepalen.

Er is ook een 'super mod'-optie beschikbaar voor cybercriminelen om de CraxsRAT bestand te maken tegen verwijdering van geïnfecteerde apparaten. Dit wordt bereikt door elke keer dat er een poging wordt gedetecteerd om de app te verwijderen, een crash te veroorzaken.

CraxsRAT steelt gevoelige en privégegevens van apparaten van slachtoffers

CraxsRAT is ook uitgerust om applicaties te beheren. Dit omvat taken zoals het verkrijgen van de lijst met geïnstalleerde applicaties, het in- of uitschakelen ervan, het openen of sluiten en zelfs het verwijderen ervan. Naast schermbediening heeft CraxsRAT de mogelijkheid om het scherm te vergrendelen of ontgrendelen, en kan het het scherm donkerder maken om kwaadwillige acties te verdoezelen. De malware breidt zijn mogelijkheden uit naar bestandsbeheertaken, zoals het openen, verplaatsen, kopiëren, downloaden, uploaden, coderen en decoderen van bestanden.

CraxsRAT beschikt over de mogelijkheid om bezochte websites te monitoren en het openen van specifieke pagina's af te dwingen. Deze RAT kan infectieketens initiëren door zelf payloads te downloaden en uit te voeren, of door slachtoffers daartoe te misleiden via met geweld geopende kwaadaardige websites. Als gevolg hiervan zou dit programma in theorie kunnen worden gebruikt om apparaten te implanteren met meer gespecialiseerde trojans, ransomware en andere vormen van malware.

CraxsRAT heeft de capaciteit om de contacten van de telefoon te manipuleren door nieuwe te lezen, te verwijderen en toe te voegen. Bovendien is het bedreigende programma bedreven in het onderzoeken van oproeplogboeken (inclusief inkomende, uitgaande en gemiste oproepen), het opnemen van telefoongesprekken en zelfs het initiëren van oproepen. Op dezelfde manier heeft de Trojan toegang tot sms-berichten (zowel verzonden als ontvangen, evenals concepten) en kan deze worden verzonden. Deze functies met betrekking tot telefoongesprekken en sms-berichten zorgen ervoor dat CraxsRAT kan worden gebruikt als Toll Fraud-malware.

De RAT heeft toegang tot inhoud die is opgeslagen op het klembord (dwz de kopieer-plakbuffer). CraxsRAT richt zich ook op verschillende accounts en hun inloggegevens. Tot de voorbeelden die in het promotiemateriaal worden vermeld, behoren niet-gespecificeerde e-mails, Facebook- en Telegram-accounts.

Het is belangrijk om te benadrukken dat malware-ontwikkelaars hun software vaak verfijnen, en CraxsRAT is niet anders. Bijgevolg vertonen deze infecties niet alleen diversiteit vanwege hun aanpasbare aard, maar vertonen ze ook variaties vanwege de introductie van nieuw ingebouwde functies.