CraxsRAT มัลแวร์มือถือ

มีรายงานว่าผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยตัวตนที่แท้จริงของบุคคลที่รับผิดชอบในการพัฒนา Remote Access Trojans (RATs) ที่รู้จักกันในชื่อ CypherRAT และ CraxsRAT

ปฏิบัติการภายใต้นามแฝงออนไลน์ 'EVLF DEV' และตั้งอยู่ในซีเรียในช่วงแปดปีที่ผ่านมา เชื่อว่าผู้คุกคามรายนี้สร้างรายได้มากกว่า 75,000 ดอลลาร์โดยการแจกจ่าย RAT ทั้งสองนี้ให้กับหน่วยงานที่เป็นอันตรายต่างๆ ข้อมูลที่เปิดเผยยังบ่งชี้ว่าบุคคลนี้ทำหน้าที่เป็นผู้ดำเนินการ Malware-as-a-Service (MaaS)

ในช่วงสามปีที่ผ่านมา EVLF DEV ได้นำเสนอ CraxsRAT ซึ่งถือว่าเป็นหนึ่งใน Android RAT ที่เป็นอันตรายและซับซ้อนกว่า RAT นี้มีให้บริการบน Surface Web Store โดยมีการจำหน่ายใบอนุญาตตลอดอายุการใช้งานประมาณ 100 รายการ

มัลแวร์ Android CraxsRAT สามารถปรับแต่งได้สูง

CraxsRAT สร้างแพ็คเกจที่ซับซ้อน ทำให้ผู้ประสงค์ร้ายมีความยืดหยุ่นในการปรับแต่งเนื้อหาตามประเภทการโจมตีที่ต้องการ รวมถึงการแทรกเพจ WebView ผู้คุกคามมีอิสระในการกำหนดชื่อและไอคอนของแอปสำหรับการบุกรุกอุปกรณ์ รวมถึงฟังก์ชันเฉพาะที่มัลแวร์จะมี

นอกจากนี้ เครื่องมือสร้างยังรวมคุณสมบัติการติดตั้งอย่างรวดเร็วซึ่งสร้างแอปพลิเคชันที่มีสิทธิ์ในการติดตั้งขั้นต่ำเพื่อหลบเลี่ยงการตรวจจับ อย่างไรก็ตาม หลังการติดตั้ง ผู้คุกคามยังคงสามารถขอเปิดใช้งานสิทธิ์เพิ่มเติมได้

โทรจันนี้ใช้ประโยชน์จากบริการการเข้าถึงของ Android เพื่อรับคุณสมบัติที่หลากหลาย รวมถึงการล็อคปุ่ม การจัดการหน้าจอสัมผัส และการเลือกตัวเลือกอัตโนมัติ ความสามารถที่หลากหลายของ CraxsRAT ครอบคลุมงานต่างๆ เช่น การบันทึกและการสตรีมสดบนหน้าจอของอุปกรณ์ สามารถรับการบันทึกหรือมีส่วนร่วมในการเฝ้าระวังแบบเรียลไทม์โดยใช้ไมโครโฟนของโทรศัพท์และกล้องทั้งด้านหน้าและด้านหลัง โทรจันสามารถติดตามตำแหน่งของอุปกรณ์ที่ถูกละเมิดผ่านตำแหน่งทางภูมิศาสตร์หรือโดยการตรวจสอบความเคลื่อนไหวแบบเรียลไทม์ ส่งผลให้สามารถระบุตำแหน่งที่แน่นอนของเหยื่อได้

ตัวเลือก 'super mod' ยังมีให้สำหรับอาชญากรไซเบอร์เพื่อทำให้ CraxsRAT ทนต่อการลบออกจากอุปกรณ์ที่ติดไวรัส ซึ่งทำได้โดยการทำให้เกิดข้อขัดข้องทุกครั้งที่ตรวจพบความพยายามที่จะถอนการติดตั้งแอป

CraxsRAT ขโมยอุปกรณ์ข้อมูลที่ละเอียดอ่อนและเป็นส่วนตัวของเหยื่อ

CraxsRAT ยังติดตั้งเพื่อจัดการแอปพลิเคชันอีกด้วย ซึ่งรวมถึงงานต่างๆ เช่น การรับรายการแอปพลิเคชันที่ติดตั้ง การเปิดหรือปิดใช้งาน การเปิดหรือปิด และแม้แต่การลบแอปพลิเคชัน นอกจากการควบคุมหน้าจอแล้ว CraxsRAT ยังมีความสามารถในการล็อคหรือปลดล็อคหน้าจอ และสามารถทำให้หน้าจอมืดลงเพื่อปิดบังการกระทำที่เป็นอันตรายได้ มัลแวร์ขยายขีดความสามารถไปยังงานการจัดการไฟล์ เช่น การเปิด การย้าย การคัดลอก ดาวน์โหลด การอัปโหลด การเข้ารหัส และถอดรหัสไฟล์

CraxsRAT มีความสามารถในการตรวจสอบเว็บไซต์ที่เข้าถึงและบังคับใช้การเปิดหน้าเว็บเฉพาะ RAT นี้สามารถเริ่มต้นห่วงโซ่การติดไวรัสได้โดยการดาวน์โหลดและดำเนินการเพย์โหลดเอง หรือโดยการหลอกเหยื่อให้ทำเช่นนั้นผ่านเว็บไซต์ที่เป็นอันตรายที่เปิดโดยบังคับ ตามทฤษฎีแล้ว โปรแกรมนี้สามารถใช้เพื่อฝังอุปกรณ์ที่มีโทรจัน แรนซัมแวร์ และมัลแวร์รูปแบบอื่น ๆ ที่มีความเชี่ยวชาญมากกว่า

CraxsRAT มีความสามารถในการจัดการรายชื่อติดต่อของโทรศัพท์โดยการอ่าน ลบ และเพิ่มรายการใหม่ นอกจากนี้ โปรแกรมคุกคามยังมีความเชี่ยวชาญในการตรวจสอบบันทึกการโทร (รวมถึงสายเรียกเข้า สายออก และสายที่ไม่ได้รับ) บันทึกการสนทนาทางโทรศัพท์ และแม้แต่การเริ่มต้นการโทร ในทำนองเดียวกัน โทรจันสามารถเข้าถึงข้อความ SMS (ทั้งที่ส่งและรับ รวมถึงแบบร่าง) และส่งข้อความเหล่านั้นได้ คุณสมบัติเหล่านี้ที่เกี่ยวข้องกับการโทรและการส่งข้อความทำให้ CraxsRAT ใช้เป็นมัลแวร์ Toll Fraud

RAT สามารถเข้าถึงเนื้อหาที่จัดเก็บไว้ในคลิปบอร์ด (เช่น บัฟเฟอร์การคัดลอกและวาง) CraxsRAT ยังกำหนดเป้าหมายบัญชีต่างๆ และข้อมูลการเข้าสู่ระบบด้วย ตัวอย่างที่ระบุไว้ในสื่อส่งเสริมการขาย ได้แก่ อีเมลที่ไม่ระบุ บัญชี Facebook และ Telegram

สิ่งสำคัญคือต้องเน้นว่านักพัฒนามัลแวร์มักจะปรับแต่งซอฟต์แวร์ของตน และ CraxsRAT ก็ไม่ต่างกัน ดังนั้น การติดไวรัสเหล่านี้ไม่เพียงแต่แสดงความหลากหลายเนื่องจากลักษณะที่ปรับแต่งได้ แต่ยังแสดงการเปลี่ยนแปลงอันเนื่องมาจากการแนะนำคุณสมบัติที่รวมเข้าด้วยกันใหม่