Malware CraxsRAT Mobile

Ekspertët e sigurisë kibernetike thuhet se kanë zbuluar identitetin e vërtetë të individit përgjegjës për zhvillimin e Trojans me qasje në distancë (RAT) të njohur si CypherRAT dhe CraxsRAT.

Duke operuar nën pseudonimin online 'EVLF DEV' dhe me qendër në Siri për tetë vitet e fundit, ky aktor i kërcënimit besohet se ka gjeneruar më shumë se 75,000 dollarë duke shpërndarë këto dy RAT tek entitete të ndryshme kërcënuese. Informacioni i zbuluar gjithashtu tregon se ky individ shërben si një operator Malware-as-a-Service (MaaS).

Për tre vitet e fundit, EVLF DEV ka ofruar CraxsRAT, i cili konsiderohet si një nga Android RAT më të dëmshëm dhe të sofistikuar. Ky RAT ka qenë i disponueshëm në një dyqan në internet sipërfaqësor, me rreth 100 licenca të përjetshme të shitura deri më tani.

Malware CraxsRAT Android është shumë i personalizueshëm

CraxsRAT gjeneron paketa shumë të turbullta, duke u dhënë aktorëve keqdashës fleksibilitetin për të përshtatur përmbajtjen e tyre bazuar në llojin e synuar të sulmit, duke përfshirë injeksionet e faqeve WebView. Aktorët e kërcënimit kanë lirinë për të përcaktuar emrin dhe ikonën e aplikacionit për infiltrimin e pajisjes, si dhe funksionalitetet specifike që malware do të zotërojë.

Për më tepër, ndërtuesi përfshin një veçori të instalimit të shpejtë që krijon aplikacione me leje minimale instalimi për të shmangur zbulimin. Megjithatë, pas instalimit, aktori i kërcënimit ruan aftësinë për të kërkuar aktivizimin e lejeve shtesë.

Ky Trojan përdor shërbimet e aksesueshmërisë së Android për të fituar një sërë veçorish, duke përfshirë regjistrimin e tastierëve, manipulimin e ekranit me prekje dhe zgjedhjen automatike të opsioneve. Gama e gjerë e aftësive të CraxsRAT përfshin detyra si regjistrimi dhe transmetimi i drejtpërdrejtë i ekranit të pajisjes. Ai është në gjendje të marrë regjistrime ose të përfshihet në mbikëqyrje në kohë reale duke përdorur mikrofonin e telefonit dhe kamerën e përparme dhe të pasme. Trojani mund të gjurmojë vendndodhjen e pajisjes së dëmtuar përmes vendndodhjes gjeografike ose duke monitoruar lëvizjet e drejtpërdrejta. Si rezultat, ai ka aftësinë të përcaktojë vendndodhjen e saktë të viktimës.

Një opsion 'super mod' është gjithashtu i disponueshëm për kriminelët kibernetikë për ta bërë CraxsRAT rezistent ndaj heqjes nga pajisjet e infektuara. Kjo arrihet duke shkaktuar një përplasje sa herë që zbulohet një përpjekje për të çinstaluar aplikacionin.

CraxsRAT vjedh pajisjet e ndjeshme dhe private të viktimave të të dhënave

CraxsRAT është gjithashtu i pajisur për të menaxhuar aplikacionet. Kjo përfshin detyra të tilla si marrja e listës së aplikacioneve të instaluara, aktivizimi ose çaktivizimi i tyre, hapja ose mbyllja, madje edhe fshirja e tyre. Krahas kontrollit të ekranit, CraxsRAT ka aftësinë për të kyçur ose zhbllokuar ekranin dhe mund të errësojë ekranin për të errësuar veprimet e tij keqdashëse. Malware i shtrin aftësitë e tij në detyrat e menaxhimit të skedarëve, si hapja, lëvizja, kopjimi, shkarkimi, ngarkimi, enkriptimi dhe deshifrimi i skedarëve.

CraxsRAT posedon aftësinë për të monitoruar faqet e internetit të aksesuara dhe për të zbatuar hapjen e faqeve specifike. Ky RAT mund të inicojë zinxhirë infektimi ose duke shkarkuar dhe ekzekutuar vetë ngarkesat e dobishme ose duke mashtruar viktimat që ta bëjnë këtë përmes faqeve të internetit me qëllim të keq të hapura me forcë. Si rezultat, në teori, ky program mund të përdoret për të implantuar pajisje me trojanë më të specializuar, ransomware dhe forma të tjera malware.

CraxsRAT ka aftësinë për të manipuluar kontaktet e telefonit duke lexuar, fshirë dhe shtuar të reja. Për më tepër, programi kërcënues është i aftë në ekzaminimin e regjistrave të thirrjeve (përfshirë thirrjet hyrëse, dalëse dhe të humbura), regjistrimin e bisedave telefonike dhe madje edhe fillimin e thirrjeve. Në mënyrë të ngjashme, Trojan mund të hyjë në mesazhet SMS (të dërguara dhe të marra, si dhe draftet) dhe t'i dërgojë ato. Këto veçori që lidhen me telefonatat dhe mesazhet me tekst e vendosin CraxsRAT për t'u përdorur si malware i mashtrimit me pagesë.

RAT është në gjendje të aksesojë përmbajtjen e ruajtur në kujtesën e fragmenteve (dmth., bufferin e kopjimit-ngjitjes). CraxsRAT synon gjithashtu llogari të ndryshme dhe kredencialet e tyre të hyrjes. Ndër shembujt e listuar në materialin e tij promovues janë emailet e paspecifikuara, llogaritë në Facebook dhe Telegram.

Është e rëndësishme të theksohet se zhvilluesit e malware shpesh përsosin softuerin e tyre dhe CraxsRAT nuk është ndryshe. Rrjedhimisht, këto infeksione jo vetëm që shfaqin diversitet për shkak të natyrës së tyre të personalizueshme, por shfaqin edhe variacione për shkak të futjes së veçorive të reja të inkorporuara.