CraxsRAT Mobile Malware
Ang mga eksperto sa cybersecurity ay iniulat na natuklasan ang tunay na pagkakakilanlan ng indibidwal na responsable sa pagbuo ng Remote Access Trojans (RATs) na kilala bilang CypherRAT at CraxsRAT.
Nagpapatakbo sa ilalim ng online na alyas na 'EVLF DEV' at nakabase sa Syria sa nakalipas na walong taon, pinaniniwalaang nakabuo ang threat actor na ito ng higit sa $75,000 sa pamamagitan ng pamamahagi ng dalawang RAT na ito sa iba't ibang nagbabantang entity. Ang isiniwalat na impormasyon ay nagpapahiwatig din na ang indibidwal na ito ay nagsisilbing Malware-as-a-Service (MaaS) operator.
Sa nakalipas na tatlong taon, nag-aalok ang EVLF DEV ng CraxsRAT, na itinuturing na isa sa mga mas nakakapinsala at sopistikadong Android RAT. Ang RAT na ito ay magagamit sa isang pang-ibabaw na tindahan sa Web, na may humigit-kumulang 100-lifetime na mga lisensya na naibenta hanggang ngayon.
Ang CraxsRAT Android Malware ay Lubos na Nako-customize
Ang CraxsRAT ay bumubuo ng mga masalimuot na obfuscated na mga pakete, na nagbibigay sa mga nakakahamak na aktor ng kakayahang umangkop upang maiangkop ang kanilang nilalaman batay sa nilalayong uri ng pag-atake, kabilang ang mga iniksyon ng pahina ng WebView. Ang mga aktor ng pagbabanta ay may kalayaan na tukuyin ang pangalan at icon ng app para sa paglusot ng device, pati na rin ang mga partikular na functionality na taglay ng malware.
Higit pa rito, isinasama ng tagabuo ang isang mabilis na tampok sa pag-install na gumagawa ng mga application na may kaunting mga pahintulot sa pag-install upang maiwasan ang pagtuklas. Gayunpaman, pagkatapos ng pag-install, pinapanatili ng aktor ng pagbabanta ang kakayahang humiling ng pag-activate ng mga karagdagang pahintulot.
Ginagamit ng Trojan na ito ang Android Accessibility Services upang makakuha ng iba't ibang feature, kabilang ang keylogging, pagmamanipula ng touchscreen, at awtomatikong pagpili ng opsyon. Ang malawak na hanay ng mga kakayahan ng CraxsRAT ay sumasaklaw sa mga gawain tulad ng pagre-record at live-streaming sa screen ng device. Nagagawa nitong kumuha ng mga recording o makisali sa real-time na pagsubaybay gamit ang mikropono ng telepono at parehong mga camera sa harap at likod. Maaaring subaybayan ng Trojan ang lokasyon ng nalabag na aparato sa pamamagitan ng geolocation o sa pamamagitan ng pagsubaybay sa mga live na paggalaw. Bilang resulta, may kakayahan itong matukoy ang eksaktong lokasyon ng biktima.
Available din ang opsyong 'super mod' sa mga cybercriminal upang gawing lumalaban ang CraxsRAT sa pag-alis mula sa mga nahawaang device. Ito ay nakakamit sa pamamagitan ng pag-trigger ng pag-crash sa tuwing may nakitang pagtatangkang i-uninstall ang app.
Ang CraxsRAT ay Nagnanakaw ng Mga Sensitibo at Pribadong Dataf na Device ng mga Biktima
Ang CraxsRAT ay nilagyan din upang pamahalaan ang mga aplikasyon. Kabilang dito ang mga gawain tulad ng pagkuha ng listahan ng mga naka-install na application, pagpapagana o hindi pagpapagana sa mga ito, pagbubukas o pagsasara, at kahit na pagtanggal sa mga ito. Sa tabi ng screen control, ang CraxsRAT ay may kapasidad na i-lock o i-unlock ang screen, at maaari nitong padilimin ang screen upang matakpan ang mga malisyosong aksyon nito. Pinapalawak ng malware ang mga kakayahan nito sa mga gawain sa pamamahala ng file, tulad ng pagbubukas, paglipat, pagkopya, pag-download, pag-upload, pag-encrypt at pag-decrypt ng mga file.
Ang CraxsRAT ay nagtataglay ng kakayahang subaybayan ang mga na-access na website at ipatupad ang pagbubukas ng mga partikular na pahina. Ang RAT na ito ay maaaring magpasimula ng mga chain ng impeksyon sa pamamagitan ng pag-download at pagpapatupad ng mga payload mismo o sa pamamagitan ng panlilinlang sa mga biktima na gawin ito sa pamamagitan ng puwersahang binuksan ang mga nakakahamak na website. Bilang resulta, sa teorya, ang program na ito ay maaaring gamitin upang itanim ang mga device na may mas espesyal na mga trojan, ransomware, at iba pang mga anyo ng malware.
Ang CraxsRAT ay may kapasidad na manipulahin ang mga contact ng telepono sa pamamagitan ng pagbabasa, pagtanggal at pagdaragdag ng mga bago. Bukod pa rito, ang nagbabantang programa ay mahusay sa pagsusuri ng mga log ng tawag (kabilang ang mga papasok, papalabas, at mga hindi nasagot na tawag), pagtatala ng mga pag-uusap sa telepono, at maging ang pagsisimula ng mga tawag. Katulad nito, maaaring ma-access ng Trojan ang mga mensaheng SMS (parehong ipinadala at natanggap, pati na rin ang mga draft) at ipadala ang mga ito. Ang mga feature na ito na nauugnay sa mga tawag sa telepono at mga text message ay nakaposisyon sa CraxsRAT upang magamit bilang Toll Fraud malware.
Nagagawa ng RAT na ma-access ang nilalamang nakaimbak sa clipboard (ibig sabihin, ang copy-paste buffer). Tina-target din ng CraxsRAT ang iba't ibang mga account at ang kanilang mga kredensyal sa pag-log in. Kabilang sa mga halimbawang nakalista sa materyal na pang-promosyon nito ay ang mga hindi natukoy na email, Facebook at Telegram account.
Mahalagang i-highlight na kadalasang pinipino ng mga developer ng malware ang kanilang software, at walang pinagkaiba ang CraxsRAT. Dahil dito, ang mga impeksyong ito ay hindi lamang nagpapakita ng pagkakaiba-iba dahil sa kanilang nako-customize na kalikasan ngunit nagpapakita rin ng mga pagkakaiba-iba dahil sa pagpapakilala ng mga bagong inkorporada na feature.
