CraxsRAT Mobile Malware

Os especialistas em segurança cibernética descobriram a verdadeira identidade do indivíduo responsável pelo desenvolvimento dos Trojans de Acesso Remoto (RATs) conhecidos como CypherRAT e CraxsRAT.

Operando sob o pseudônimo online 'EVLF DEV' e baseado na Síria nos últimos oito anos, acredita-se que este ator de ameaça tenha gerado mais de US$75.000 ao distribuir esses dois RATs a várias entidades ameaçadoras. As informações divulgadas também indicam que esse indivíduo atua como operador de Malware-as-a-Service (MaaS).

Nos últimos três anos, a EVLF DEV oferece o CraxsRAT, que é considerado um dos RATs Android mais prejudiciais e sofisticados. Este RAT está disponível em uma loja on-line de superfície, com aproximadamente 100 licenças vitalícias vendidas até o momento.

O Malware CraxsRAT para o Android é Altamente Personalizável

O CraxsRAT gera pacotes intrincadamente ofuscados, concedendo aos agentes mal-intencionados a flexibilidade de adaptar seu conteúdo com base no tipo de ataque pretendido, incluindo injeções de páginas WebView. Os agentes da ameaça têm a liberdade de determinar o nome e o ícone do aplicativo para infiltração no dispositivo, bem como as funcionalidades específicas que o malware possuirá.

Além disso, o construtor incorpora um recurso de instalação rápida que cria aplicativos com permissões mínimas de instalação para evitar a detecção. No entanto, após a instalação, o autor da ameaça mantém a capacidade de solicitar a ativação de permissões adicionais.

Este Trojan aproveita os serviços de acessibilidade do Android para obter uma variedade de recursos, incluindo keylogging, manipulação de tela sensível ao toque e seleção automática de opções. A extensa gama de recursos do CraxsRAT abrange tarefas como gravação e transmissão ao vivo da tela do dispositivo. Ele é capaz de adquirir gravações ou realizar vigilância em tempo real usando o microfone do telefone e as câmeras frontal e traseira. O Trojan pode rastrear a localização do dispositivo violado por meio de geolocalização ou monitorando movimentos ao vivo. Como resultado, tem a capacidade de identificar a localização exata da vítima.

Uma opção de ‘super mod’ também está disponível para os cibercriminosos para tornar o CraxsRAT resistente à remoção de dispositivos infectados. Isso é conseguido acionando uma falha sempre que uma tentativa de desinstalar o aplicativo é detectada.

O CraxsRAT Rouba Dados Confidenciais e Privados dos Dispositivos das Vítimas

O CraxsRAT também está equipado para gerenciar aplicativos. Isso inclui tarefas como obter a lista de aplicativos instalados, ativá-los ou desativá-los, abri-los ou fechá-los e até mesmo excluí-los. Juntamente com o controle da tela, o CraxsRAT tem a capacidade de bloquear ou desbloquear a tela e pode escurecê-la para ocultar suas ações maliciosas. O malware estende seus recursos para tarefas de gerenciamento de arquivos, como abrir, mover, copiar, baixar, fazer upload, criptografar e descriptografar arquivos.

O CraxsRAT possui a capacidade de monitorar sites acessados e forçar a abertura de páginas específicas. Este RAT pode iniciar cadeias de infecção baixando e executando cargas úteis ou enganando as vítimas para que o façam por meio de sites maliciosos abertos à força. Como resultado, em teoria, este programa poderia ser utilizado para implantar dispositivos com trojans, ransomware e outras formas de malware mais especializados.

O CraxsRAT tem a capacidade de manipular os contatos do telefone lendo, excluindo e adicionando novos. Além disso, o programa ameaçador é proficiente em examinar registros de chamadas (incluindo chamadas recebidas, efetuadas e perdidas), gravar conversas telefônicas e até mesmo iniciar chamadas. Da mesma forma, o Trojan pode acessar mensagens SMS (enviadas e recebidas, bem como rascunhos) e enviá-las. Esses recursos relacionados a chamadas telefônicas e mensagens de texto posicionam o CraxsRAT para ser usado como malware Toll Fraud.

O RAT é capaz de acessar o conteúdo armazenado na área de transferência (ou seja, o buffer de copiar e colar). CraxsRAT também tem como alvo várias contas e suas credenciais de login. Entre os exemplos listados em seu material promocional estão e-mails não especificados, contas de Facebook e Telegram.

É importante destacar que os desenvolvedores de malware geralmente refinam seu software, e o CraxsRAT não é diferente. Consequentemente, estas infecções não só apresentam diversidade devido à sua natureza personalizável, mas também apresentam variações devido à introdução de características recentemente incorporadas.