Мобильное вредоносное ПО CraxsRAT

Сообщается, что эксперты по кибербезопасности раскрыли истинную личность человека, ответственного за разработку троянов удаленного доступа (RAT), известных как CypherRAT и CraxsRAT.

Предполагается, что этот злоумышленник, действующий под онлайн-псевдонимом «EVLF DEV» и базирующийся в Сирии в течение последних восьми лет, заработал более 75 000 долларов США, распространив эти два RAT различным угрожающим организациям. Раскрытая информация также указывает на то, что это лицо выступает в качестве оператора вредоносного ПО как услуги (MaaS).

Последние три года EVLF DEV предлагает CraxsRAT, который считается одним из наиболее вредоносных и сложных Android RAT. Эта RAT доступна в обычном интернет-магазине, на данный момент продано около 100 пожизненных лицензий.

Вредоносное ПО CraxsRAT для Android обладает широкими возможностями настройки

CraxsRAT генерирует сложные запутанные пакеты, предоставляя злоумышленникам возможность адаптировать свой контент в зависимости от предполагаемого типа атаки, включая внедрение страниц WebView. Злоумышленники имеют право определять имя и значок приложения для проникновения на устройство, а также конкретные функции, которыми будет обладать вредоносное ПО.

Кроме того, в сборщике предусмотрена функция быстрой установки, позволяющая создавать приложения с минимальными разрешениями на установку, чтобы избежать обнаружения. Однако после установки злоумышленник сохраняет возможность запрашивать активацию дополнительных разрешений.

Этот троянец использует службы специальных возможностей Android для получения различных функций, включая ведение журнала клавиатуры, манипулирование сенсорным экраном и автоматический выбор опций. Обширный диапазон возможностей CraxsRAT включает в себя такие задачи, как запись и прямая трансляция с экрана устройства. Он может получать записи или вести наблюдение в режиме реального времени, используя микрофон телефона, а также переднюю и заднюю камеры. Троянец может отслеживать местоположение взломанного устройства с помощью геолокации или путем отслеживания перемещений в реальном времени. В результате он имеет возможность определить точное местоположение жертвы.

Киберпреступникам также доступна опция «супермод», позволяющая сделать CraxsRAT устойчивым к удалению с зараженных устройств. Это достигается за счет запуска сбоя каждый раз при обнаружении попытки удалить приложение.

CraxsRAT крадет конфиденциальные и частные данные устройств жертв

CraxsRAT также оборудован для управления приложениями. Сюда входят такие задачи, как получение списка установленных приложений, их включение или отключение, открытие или закрытие и даже удаление. Помимо управления экраном, CraxsRAT имеет возможность блокировать или разблокировать экран, а также затемнять экран, чтобы скрыть свои вредоносные действия. Вредоносная программа расширяет свои возможности для задач управления файлами, таких как открытие, перемещение, копирование, загрузка, загрузка, шифрование и расшифровка файлов.

CraxsRAT обладает способностью отслеживать посещаемые веб-сайты и обеспечивать открытие определенных страниц. Эта RAT может инициировать цепочки заражения либо путем загрузки и выполнения полезных данных, либо путем обмана жертв, заставляя их сделать это посредством принудительного открытия вредоносных веб-сайтов. В результате теоретически эту программу можно использовать для внедрения в устройства более специализированных троянов, программ-вымогателей и других форм вредоносного ПО.

CraxsRAT имеет возможность манипулировать контактами телефона, читая, удаляя и добавляя новые. Кроме того, угрожающая программа умеет проверять журналы вызовов (включая входящие, исходящие и пропущенные вызовы), записывать телефонные разговоры и даже инициировать вызовы. Аналогичным образом троянец может получать доступ к SMS-сообщениям (как отправленным и полученным, так и черновикам) и отправлять их. Эти функции, связанные с телефонными звонками и текстовыми сообщениями, позволяют использовать CraxsRAT в качестве вредоносного ПО для мошенничества с междугородными звонками.

RAT может получить доступ к содержимому, хранящемуся в буфере обмена (т. е. в буфере копирования-вставки). CraxsRAT также нацелен на различные учетные записи и их учетные данные. Среди примеров, перечисленных в рекламных материалах, — неуказанные электронные письма, учетные записи Facebook и Telegram.

Важно подчеркнуть, что разработчики вредоносных программ часто совершенствуют свое программное обеспечение, и CraxsRAT не является исключением. Следовательно, эти инфекции не только демонстрируют разнообразие из-за своей настраиваемой природы, но также демонстрируют вариации из-за введения новых функций.