Mobilný malvér CraxsRAT

Odborníci na kybernetickú bezpečnosť údajne odhalili skutočnú identitu jednotlivca zodpovedného za vývoj trójskych koní na diaľku (RAT) známych ako CypherRAT a CraxsRAT.

Tento aktér pôsobiaci pod online aliasom „EVLF DEV“ so sídlom v Sýrii za posledných osem rokov, predpokladá sa, že vygeneroval viac ako 75 000 dolárov distribúciou týchto dvoch RAT rôznym hroziacim subjektom. Zverejnené informácie tiež naznačujú, že táto osoba slúži ako prevádzkovateľ Malware-as-a-Service (MaaS).

Posledné tri roky ponúka EVLF DEV CraxsRAT, ktorý je považovaný za jeden z najškodlivejších a sofistikovanejších Android RAT. Táto RAT bola dostupná v povrchovom internetovom obchode, pričom doteraz sa predalo približne 100 licencií.

CraxsRAT Android Malware je vysoko prispôsobiteľný

CraxsRAT generuje zložito zmätené balíčky, ktoré poskytujú zlomyslným aktérom flexibilitu prispôsobiť svoj obsah na základe zamýšľaného typu útoku, vrátane vloženia stránky WebView. Aktéri hrozieb majú slobodu určiť názov aplikácie a ikonu pre infiltráciu zariadenia, ako aj konkrétne funkcie, ktoré malvér bude mať.

Okrem toho tvorca obsahuje funkciu rýchlej inštalácie, ktorá vytvára aplikácie s minimálnymi oprávneniami na inštaláciu, aby sa vyhli detekcii. Po inštalácii si však aktér hrozby zachová možnosť požiadať o aktiváciu ďalších povolení.

Tento trójsky kôň využíva služby Android Accessibility Services na získanie rôznych funkcií vrátane zaznamenávania kláves, manipulácie s dotykovou obrazovkou a automatického výberu možností. Široká škála možností CraxsRAT zahŕňa úlohy, ako je nahrávanie a živé vysielanie obrazovky zariadenia. Je schopný získavať nahrávky alebo sa zapojiť do sledovania v reálnom čase pomocou mikrofónu telefónu a prednej aj zadnej kamery. Trójsky kôň dokáže sledovať polohu narušeného zariadenia pomocou geolokácie alebo monitorovaním živých pohybov. Výsledkom je, že má schopnosť presne určiť presnú polohu obete.

Pre kyberzločincov je k dispozícii aj možnosť „super mod“, aby bol CraxsRAT odolný voči odstráneniu z infikovaných zariadení. To sa dosiahne spustením zlyhania zakaždým, keď sa zistí pokus o odinštalovanie aplikácie.

CraxsRAT kradne citlivé a súkromné údaje zo zariadení obetí

CraxsRAT je tiež vybavený na správu aplikácií. To zahŕňa úlohy, ako je získanie zoznamu nainštalovaných aplikácií, ich povolenie alebo zakázanie, otvorenie alebo zatvorenie a dokonca aj ich odstránenie. Okrem ovládania obrazovky má CraxsRAT schopnosť uzamknúť alebo odomknúť obrazovku a môže stmaviť obrazovku, aby zakryla jej škodlivé činy. Malvér rozširuje svoje možnosti na úlohy správy súborov, ako je otváranie, presúvanie, kopírovanie, sťahovanie, nahrávanie, šifrovanie a dešifrovanie súborov.

CraxsRAT má schopnosť monitorovať prístupné webové stránky a vynútiť otvorenie konkrétnych stránok. Táto RAT môže iniciovať infekčné reťazce buď samotným sťahovaním a spúšťaním užitočných dát, alebo klamaním obetí, aby tak urobili prostredníctvom násilne otvorených škodlivých webových stránok. V dôsledku toho by teoreticky mohol byť tento program použitý na implantáciu zariadení so špecializovanejšími trójskymi koňmi, ransomware a inými formami malvéru.

CraxsRAT má schopnosť manipulovať s kontaktmi telefónu čítaním, odstraňovaním a pridávaním nových. Okrem toho je tento ohrozujúci program schopný skúmať protokoly hovorov (vrátane prichádzajúcich, odchádzajúcich a zmeškaných hovorov), zaznamenávať telefonické rozhovory a dokonca aj iniciovať hovory. Podobne môže trójsky kôň pristupovať k SMS správam (odoslaným a prijatým, ako aj konceptom) a odosielať ich. Tieto funkcie súvisiace s telefónnymi hovormi a textovými správami umožňujú CraxsRAT použiť ako malvér Toll Fraud.

RAT je schopný pristupovať k obsahu uloženému v schránke (tj do vyrovnávacej pamäte kopírovania a vkladania). CraxsRAT sa zameriava aj na rôzne účty a ich prihlasovacie údaje. Medzi príkladmi uvedenými v jej propagačnom materiáli sú nešpecifikované e-maily, účty Facebook a Telegram.

Je dôležité zdôrazniť, že vývojári škodlivého softvéru často vylepšujú svoj softvér a CraxsRAT nie je iný. V dôsledku toho tieto infekcie nielenže vykazujú rozmanitosť vďaka svojej prispôsobiteľnej povahe, ale tiež vykazujú variácie v dôsledku zavedenia novo začlenených znakov.