CraxsRAT skadlig programvara för mobil

Cybersäkerhetsexperter har enligt uppgift avslöjat den verkliga identiteten för den person som är ansvarig för att utveckla Remote Access Trojans (RATs) kända som CypherRAT och CraxsRAT.

Verksamheten under onlinealiaset "EVLF DEV" och baserad i Syrien under de senaste åtta åren, tros denna hotaktör ha genererat mer än 75 000 $ genom att distribuera dessa två RAT till olika hotfulla enheter. Den avslöjade informationen indikerar också att denna person fungerar som en Malware-as-a-Service-operatör (MaaS).

Under de senaste tre åren har EVLF DEV erbjudit CraxsRAT, som anses vara en av de mer skadliga och sofistikerade Android RAT:erna. Denna RAT har varit tillgänglig på en ytwebbbutik, med cirka 100 livstidslicenser sålda hittills.

CraxsRAT Android Malware är mycket anpassningsbar

CraxsRAT genererar intrikat obfuskerade paket, vilket ger skadliga aktörer flexibiliteten att skräddarsy sitt innehåll baserat på den avsedda typen av attack, inklusive WebView-sidinjektioner. Hotaktörerna har friheten att bestämma appens namn och ikon för enhetsinfiltration, såväl som de specifika funktioner som skadlig programvara kommer att ha.

Dessutom innehåller byggaren en snabbinstallationsfunktion som skapar applikationer med minimala installationsbehörigheter för att undvika upptäckt. Men efter installationen behåller hotaktören möjligheten att begära aktivering av ytterligare behörigheter.

Den här trojanen använder Android Accessibility Services för att få en mängd olika funktioner, inklusive tangentloggning, pekskärmsmanipulation och automatiskt val av alternativ. Det omfattande utbudet av CraxsRATs funktioner omfattar uppgifter som att spela in och livestreama enhetens skärm. Den kan skaffa inspelningar eller engagera sig i realtidsövervakning med hjälp av telefonens mikrofon och både främre och bakre kameror. Trojanen kan spåra den skadade enhetens plats genom geolokalisering eller genom att övervaka liverörelser. Som ett resultat har den förmågan att lokalisera offrets exakta plats.

Ett "super mod"-alternativ är också tillgängligt för cyberbrottslingar för att göra CraxsRAT resistent mot borttagning från infekterade enheter. Detta uppnås genom att utlösa en krasch varje gång ett försök att avinstallera appen upptäcks.

CraxsRAT stjäl känsliga och privata dataoffers enheter

CraxsRAT är också utrustad för att hantera applikationer. Detta inkluderar uppgifter som att hämta listan över installerade applikationer, aktivera eller inaktivera dem, öppna eller stänga och till och med ta bort dem. Vid sidan av skärmkontroll har CraxsRAT kapacitet att låsa eller låsa upp skärmen, och den kan göra skärmen mörkare för att dölja dess skadliga handlingar. Skadlig programvara utökar sina möjligheter till filhanteringsuppgifter, som att öppna, flytta, kopiera, ladda ner, ladda upp, kryptera och dekryptera filer.

CraxsRAT har förmågan att övervaka tillgängliga webbplatser och genomdriva öppnandet av specifika sidor. Denna RAT kan initiera infektionskedjor antingen genom att ladda ner och köra nyttolaster själv eller genom att lura offer att göra det genom tvångsöppnade skadliga webbplatser. Som ett resultat kan detta program i teorin användas för att implantera enheter med mer specialiserade trojaner, ransomware och andra former av skadlig programvara.

CraxsRAT har kapacitet att manipulera telefonens kontakter genom att läsa, radera och lägga till nya. Dessutom är det hotfulla programmet skickligt i att undersöka samtalsloggar (inklusive inkommande, utgående och missade samtal), spela in telefonsamtal och till och med initiera samtal. På samma sätt kan trojanen komma åt SMS-meddelanden (både skickade och mottagna, såväl som utkast) och skicka dem. Dessa funktioner relaterade till telefonsamtal och textmeddelanden positionerar CraxsRAT för att användas som Toll Fraud malware.

RAT kan komma åt innehåll som är lagrat i klippbordet (dvs. kopiera-klistra-bufferten). CraxsRAT riktar sig också mot olika konton och deras inloggningsuppgifter. Bland exemplen som listas i dess reklammaterial är ospecificerade e-postmeddelanden, Facebook- och Telegram-konton.

Det är viktigt att betona att utvecklare av skadlig programvara ofta förfinar sin programvara, och CraxsRAT är inte annorlunda. Följaktligen uppvisar dessa infektioner inte bara mångfald på grund av sin anpassningsbara natur utan visar också variationer på grund av införandet av nyligen införlivade funktioner.