CraxsRAT Mobile Malware

Experții în securitate cibernetică au descoperit adevărata identitate a persoanei responsabile de dezvoltarea troienilor de acces la distanță (RAT) cunoscuți ca CypherRAT și CraxsRAT.

Operând sub pseudonimul online „EVLF DEV” și cu sediul în Siria în ultimii opt ani, se crede că acest actor de amenințare a generat peste 75.000 USD prin distribuirea acestor două RAT-uri către diferite entități amenințătoare. Informațiile dezvăluite indică, de asemenea, că această persoană funcționează ca operator Malware-as-a-Service (MaaS).

În ultimii trei ani, EVLF DEV oferă CraxsRAT, care este considerat unul dintre cele mai dăunătoare și mai sofisticate Android RAT. Acest RAT a fost disponibil pe un magazin web de suprafață, cu aproximativ 100 de licențe pe viață vândute până acum.

Programul malware CraxsRAT Android este extrem de personalizabil

CraxsRAT generează pachete complicate ofuscate, oferind actorilor rău intenționați flexibilitatea de a-și adapta conținutul în funcție de tipul de atac intenționat, inclusiv injecțiile în paginile WebView. Actorii amenințărilor au libertatea de a determina numele și pictograma aplicației pentru infiltrarea dispozitivului, precum și funcționalitățile specifice pe care le va avea malware-ul.

În plus, constructorul încorporează o funcție de instalare rapidă care creează aplicații cu permisiuni minime de instalare pentru a evita detectarea. Cu toate acestea, după instalare, actorul amenințării își păstrează capacitatea de a solicita activarea permisiunilor suplimentare.

Acest troian folosește serviciile de accesibilitate Android pentru a obține o varietate de funcții, inclusiv înregistrarea tastelor, manipularea ecranului tactil și selectarea automată a opțiunilor. Gama extinsă de capabilități CraxsRAT cuprinde sarcini precum înregistrarea și transmiterea în flux live a ecranului dispozitivului. Este capabil să obțină înregistrări sau să se angajeze în supraveghere în timp real folosind microfonul telefonului și camerele frontale și spate. Troianul poate urmări locația dispozitivului încălcat prin geolocalizare sau prin monitorizarea mișcărilor în direct. Drept urmare, are capacitatea de a identifica locația exactă a victimei.

O opțiune „super mod” este, de asemenea, disponibilă infractorilor cibernetici pentru a face CraxsRAT rezistent la eliminarea de pe dispozitivele infectate. Acest lucru se realizează prin declanșarea unui blocaj de fiecare dată când este detectată o încercare de dezinstalare a aplicației.

CraxsRAT fură dispozitivele de date sensibile și private ale victimelor

CraxsRAT este, de asemenea, echipat pentru a gestiona aplicații. Aceasta include sarcini precum obținerea listei de aplicații instalate, activarea sau dezactivarea acestora, deschiderea sau închiderea și chiar ștergerea acestora. Pe lângă controlul ecranului, CraxsRAT are capacitatea de a bloca sau debloca ecranul și poate întuneca ecranul pentru a-și ascunde acțiunile rău intenționate. Malware-ul își extinde capacitățile la sarcini de gestionare a fișierelor, cum ar fi deschiderea, mutarea, copierea, descărcarea, încărcarea, criptarea și decriptarea fișierelor.

CraxsRAT are capacitatea de a monitoriza site-urile web accesate și de a impune deschiderea anumitor pagini. Acest RAT poate iniția lanțuri de infecție fie prin descărcarea și executarea sarcinilor utile, fie prin înșelarea victimelor prin intermediul site-urilor web rău intenționate deschise forțat. Ca rezultat, teoretic, acest program ar putea fi utilizat pentru a implanta dispozitive cu troieni mai specializati, ransomware și alte forme de malware.

CraxsRAT are capacitatea de a manipula contactele telefonului citind, ștergând și adăugând altele noi. În plus, programul de amenințare este competent în examinarea jurnalelor de apeluri (inclusiv apelurile primite, efectuate și nepreluate), înregistrarea conversațiilor telefonice și chiar inițierea apelurilor. În mod similar, troianul poate accesa mesajele SMS (atât trimise, cât și primite, precum și ciorne) și le trimite. Aceste caracteristici legate de apelurile telefonice și mesajele text poziționează CraxsRAT pentru a fi utilizat ca program malware pentru Fraudă de taxare.

RAT este capabil să acceseze conținutul stocat în clipboard (adică, tamponul de copiere-lipire). CraxsRAT vizează, de asemenea, diverse conturi și datele de conectare ale acestora. Printre exemplele enumerate în materialul său promoțional se numără e-mailurile nespecificate, conturile Facebook și Telegram.

Este important de subliniat că dezvoltatorii de programe malware își perfecționează adesea software-ul, iar CraxsRAT nu este diferit. În consecință, aceste infecții nu numai că prezintă diversitate datorită naturii lor personalizabile, dar prezintă și variații datorită introducerii de caracteristici nou încorporate.