Zlonamerna programska oprema za mobilne naprave CraxsRAT

Strokovnjaki za kibernetsko varnost naj bi odkrili pravo identiteto posameznika, ki je odgovoren za razvoj trojanskih programov za oddaljeni dostop (RAT), znanih kot CypherRAT in CraxsRAT.

Ta akter grožnje, ki deluje pod spletnim vzdevkom 'EVLF DEV' in ima sedež v Siriji zadnjih osem let, naj bi ustvaril več kot 75.000 $ z razdeljevanjem teh dveh RAT različnim grozečim subjektom. Razkrite informacije tudi kažejo, da ta posameznik deluje kot operater zlonamerne programske opreme kot storitve (MaaS).

Zadnja tri leta EVLF DEV ponuja CraxsRAT, ki velja za enega bolj škodljivih in sofisticiranih Android RAT-ov. Ta RAT je bil na voljo v površinski spletni trgovini, do zdaj pa je bilo prodanih približno 100 doživljenjskih licenc.

Zlonamerna programska oprema CraxsRAT za Android je zelo prilagodljiva

CraxsRAT generira zapleteno zakrite pakete, ki zlonamernim akterjem omogočajo prilagodljivost, da prilagodijo svojo vsebino glede na predvideno vrsto napada, vključno z vbrizgavanjem strani WebView. Akterji groženj lahko svobodno določijo ime in ikono aplikacije za infiltracijo naprave ter posebne funkcije, ki jih bo imela zlonamerna programska oprema.

Poleg tega graditelj vključuje funkcijo hitre namestitve, ki oblikuje aplikacije z minimalnimi dovoljenji za namestitev, da se izogne zaznavanju. Vendar akter grožnje po namestitvi ohrani možnost, da zahteva aktivacijo dodatnih dovoljenj.

Ta trojanec izkorišča storitve Android Accessibility Services za pridobivanje različnih funkcij, vključno s beleženjem tipk, manipulacijo zaslona na dotik in samodejno izbiro možnosti. Obsežen obseg zmogljivosti CraxsRAT zajema naloge, kot je snemanje in pretakanje v živo z zaslona naprave. Lahko pridobi posnetke ali se vključi v nadzor v realnem času z uporabo mikrofona telefona ter sprednje in zadnje kamere. Trojanec lahko sledi lokaciji vdrete naprave z geolokacijo ali s spremljanjem premikov v živo. Posledično lahko natančno določi lokacijo žrtve.

Možnost 'super mod' je na voljo tudi kiberkriminalcem, da naredi CraxsRAT odporen na odstranitev iz okuženih naprav. To se doseže tako, da se sproži zrušitev vsakič, ko je zaznan poskus odstranitve aplikacije.

CraxsRAT ukrade občutljive in zasebne podatke žrtev naprav

CraxsRAT je opremljen tudi za upravljanje aplikacij. To vključuje naloge, kot je pridobivanje seznama nameščenih aplikacij, njihovo omogočanje ali onemogočanje, odpiranje ali zapiranje in celo brisanje. Poleg nadzora zaslona lahko CraxsRAT zaklene ali odklene zaslon in lahko zatemni zaslon, da zakrije zlonamerna dejanja. Zlonamerna programska oprema razširja svoje zmogljivosti na naloge upravljanja datotek, kot so odpiranje, premikanje, kopiranje, nalaganje, nalaganje, šifriranje in dešifriranje datotek.

CraxsRAT ima zmožnost spremljanja dostopnih spletnih mest in vsiljevanja odpiranja določenih strani. Ta RAT lahko sproži verige okužb bodisi tako, da sam prenese in izvede koristne obremenitve ali tako, da zavede žrtve, da to storijo prek nasilno odprtih zlonamernih spletnih mest. Posledično bi teoretično lahko ta program uporabili za vsaditev v naprave z bolj specializiranimi trojanci, izsiljevalsko programsko opremo in drugimi oblikami zlonamerne programske opreme.

CraxsRAT lahko manipulira s kontakti v telefonu z branjem, brisanjem in dodajanjem novih. Poleg tega je grozilni program spreten pri pregledovanju dnevnikov klicev (vključno z dohodnimi, odhodnimi in neodgovorjenimi klici), snemanju telefonskih pogovorov in celo sprožanju klicev. Podobno lahko trojanec dostopa do sporočil SMS (poslanih in prejetih ter osnutkov) in jih pošilja. Te funkcije, povezane s telefonskimi klici in besedilnimi sporočili, določajo, da se CraxsRAT uporablja kot zlonamerna programska oprema Toll Fraud.

RAT lahko dostopa do vsebine, shranjene v odložišču (tj. medpomnilnik za kopiranje in lepljenje). CraxsRAT cilja tudi na različne račune in njihove poverilnice za prijavo. Med primeri, navedenimi v njegovem promocijskem gradivu, so nedoločeni e-poštni naslovi, računi Facebook in Telegram.

Pomembno je poudariti, da razvijalci zlonamerne programske opreme pogosto izpopolnijo svojo programsko opremo in pri CraxsRAT ni nič drugače. Posledično te okužbe ne kažejo le raznolikosti zaradi svoje prilagodljive narave, temveč kažejo tudi razlike zaradi uvedbe na novo vključenih funkcij.