Złośliwe oprogramowanie mobilne CraxsRAT

Według doniesień eksperci ds. cyberbezpieczeństwa odkryli prawdziwą tożsamość osoby odpowiedzialnej za tworzenie trojanów zdalnego dostępu (RAT) znanych jako CypherRAT i CraxsRAT.

Uważa się, że ten ugrupowanie zagrażające, działające pod pseudonimem internetowym „EVLF DEV” i mające siedzibę w Syrii przez ostatnie osiem lat, wygenerowało ponad 75 000 dolarów poprzez dystrybucję tych dwóch RAT różnym podmiotom stwarzającym zagrożenie. Ujawnione informacje wskazują również, że osoba ta pełni funkcję operatora oprogramowania Malware-as-a-Service (MaaS).

Od trzech lat EVLF DEV oferuje CraxsRAT, który jest uważany za jeden z bardziej szkodliwych i wyrafinowanych Android RAT. Ten RAT jest dostępny w sklepie internetowym i do tej pory sprzedano około 100 licencji dożywotnich.

Złośliwe oprogramowanie CraxsRAT dla systemu Android można w dużym stopniu dostosować do własnych potrzeb

CraxsRAT generuje misternie zaciemniane pakiety, zapewniając złośliwym aktorom elastyczność w dostosowywaniu ich zawartości w oparciu o zamierzony typ ataku, w tym wstrzykiwanie stron WebView. Podmioty zagrażające mają swobodę określenia nazwy aplikacji i ikony umożliwiającej infiltrację urządzenia, a także konkretnych funkcji, jakie będzie posiadać złośliwe oprogramowanie.

Co więcej, kreator zawiera funkcję szybkiej instalacji, która tworzy aplikacje z minimalnymi uprawnieniami do instalacji, aby uniknąć wykrycia. Jednak po instalacji ugrupowanie zagrażające zachowuje możliwość zażądania aktywacji dodatkowych uprawnień.

Trojan ten wykorzystuje usługi ułatwień dostępu systemu Android w celu uzyskania różnorodnych funkcji, w tym rejestrowania naciśnięć klawiszy, manipulacji na ekranie dotykowym i automatycznego wyboru opcji. Szeroki zakres możliwości CraxsRAT obejmuje zadania takie jak nagrywanie i przesyłanie strumieniowe na żywo ekranu urządzenia. Jest w stanie przechwytywać nagrania lub monitorować w czasie rzeczywistym za pomocą mikrofonu telefonu oraz przedniej i tylnej kamery. Trojan może śledzić lokalizację złamanego urządzenia poprzez geolokalizację lub monitorowanie na żywo ruchów. W rezultacie jest w stanie określić dokładną lokalizację ofiary.

Cyberprzestępcy mają również dostęp do opcji „supermodu”, która sprawia, że CraxsRAT jest odporny na usunięcie z zainfekowanych urządzeń. Osiąga się to poprzez wywoływanie awarii za każdym razem, gdy wykryta zostanie próba odinstalowania aplikacji.

CraxsRAT kradnie wrażliwe i prywatne urządzenia ofiar

CraxsRAT jest również przystosowany do zarządzania aplikacjami. Obejmuje to zadania takie jak uzyskiwanie listy zainstalowanych aplikacji, włączanie lub wyłączanie ich, otwieranie lub zamykanie, a nawet ich usuwanie. Oprócz kontroli ekranu CraxsRAT może blokować lub odblokowywać ekran, a także przyciemniać ekran, aby ukryć jego złośliwe działania. Szkodnik rozszerza swoje możliwości o zadania związane z zarządzaniem plikami, takie jak otwieranie, przenoszenie, kopiowanie, pobieranie, przesyłanie, szyfrowanie i deszyfrowanie plików.

CraxsRAT posiada możliwość monitorowania odwiedzanych stron internetowych i wymuszania otwarcia określonych stron. Ten RAT może inicjować łańcuchy infekcji poprzez samo pobranie i wykonanie ładunków lub oszukanie ofiar, aby to zrobiły poprzez wymuszone otwieranie złośliwych witryn internetowych. W rezultacie teoretycznie program ten można wykorzystać do wszczepiania na urządzenia bardziej wyspecjalizowanych trojanów, oprogramowania ransomware i innych form złośliwego oprogramowania.

CraxsRAT ma możliwość manipulowania kontaktami w telefonie poprzez odczytywanie, usuwanie i dodawanie nowych. Ponadto program grożący jest biegły w sprawdzaniu rejestrów połączeń (w tym połączeń przychodzących, wychodzących i nieodebranych), nagrywaniu rozmów telefonicznych, a nawet inicjowaniu połączeń. W podobny sposób trojan może uzyskać dostęp do wiadomości SMS (zarówno wysłanych i odebranych, jak i wersji roboczych) oraz je wysłać. Te funkcje związane z połączeniami telefonicznymi i wiadomościami tekstowymi sprawiają, że CraxsRAT może być wykorzystywany jako złośliwe oprogramowanie służące do oszustw związanych z opłatami drogowymi.

RAT ma dostęp do zawartości przechowywanej w schowku (tj. buforze kopiuj-wklej). CraxsRAT atakuje również różne konta i ich dane logowania. Wśród przykładów wymienionych w materiałach promocyjnych znajdują się bliżej nieokreślone e-maile, konta na Facebooku i Telegramie.

Należy podkreślić, że twórcy złośliwego oprogramowania często udoskonalają swoje oprogramowanie i CraxsRAT nie jest wyjątkiem. W rezultacie infekcje te nie tylko wykazują różnorodność ze względu na możliwość dostosowania, ale także wykazują różnice ze względu na wprowadzenie nowo wbudowanych funkcji.