CraxsRAT Mobil Kötü Amaçlı Yazılım

Siber güvenlik uzmanlarının, CypherRAT ve CraxsRAT olarak bilinen Uzaktan Erişim Truva Atlarını (RAT'lar) geliştirmekten sorumlu olan kişinin gerçek kimliğini ortaya çıkardığı bildirildi.

'EVLF DEV' çevrimiçi takma adı altında faaliyet gösteren ve son sekiz yıldır Suriye'de bulunan bu tehdit aktörünün, bu iki RAT'ı çeşitli tehdit oluşturan kuruluşlara dağıtarak 75.000 dolardan fazla gelir elde ettiğine inanılıyor. Açıklanan bilgiler aynı zamanda bu kişinin Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) operatörü olarak hizmet ettiğini de göstermektedir.

EVLF DEV, son üç yıldır en zararlı ve gelişmiş Android RAT'lardan biri olarak kabul edilen CraxsRAT'ı sunuyor. Bu RAT, şu ana kadar yaklaşık 100 ömür boyu lisans satılarak yüzeysel bir Web mağazasında satışa sunuldu.

CraxsRAT Android Kötü Amaçlı Yazılımı Son Derece Özelleştirilebilir

CraxsRAT, karmaşık bir şekilde gizlenmiş paketler oluşturarak, kötü niyetli aktörlere, WebView sayfa enjeksiyonları da dahil olmak üzere, içeriklerini amaçlanan saldırı türüne göre uyarlama esnekliği sağlar. Tehdit aktörleri, kötü amaçlı yazılımın sahip olacağı belirli işlevlerin yanı sıra, cihaza sızma için uygulamanın adını ve simgesini belirleme özgürlüğüne sahiptir.

Ayrıca, oluşturucu, tespit edilmekten kaçınmak için minimum kurulum izinlerine sahip uygulamalar üreten bir hızlı kurulum özelliği içerir. Ancak kurulum sonrasında tehdit aktörü ek izinlerin etkinleştirilmesini talep etme olanağını korur.

Bu Truva Atı, tuş kaydı, dokunmatik ekran manipülasyonu ve otomatik seçenek seçimi dahil olmak üzere çeşitli özellikler elde etmek için Android Erişilebilirlik Hizmetlerinden yararlanır. CraxsRAT'ın geniş kapsamlı yetenekleri, cihazın ekranını kaydetme ve canlı yayınlama gibi görevleri kapsar. Telefonun mikrofonunu ve hem ön hem de arka kameralarını kullanarak kayıt alabiliyor veya gerçek zamanlı gözetim gerçekleştirebiliyor. Truva atı, ihlal edilen cihazın konumunu coğrafi konum aracılığıyla veya canlı hareketleri izleyerek izleyebilir. Sonuç olarak kurbanın tam yerini tespit etme kabiliyetine sahiptir.

Siber suçluların CraxsRAT'ı virüs bulaşmış cihazlardan çıkarılmaya karşı dayanıklı hale getirmek için bir 'süper mod' seçeneği de mevcuttur. Bu, uygulamayı kaldırma girişimi her algılandığında bir kilitlenmenin tetiklenmesiyle gerçekleştirilir.

CraxsRAT, Mağdurların Cihazlarındaki Hassas ve Özel Verileri Çalıyor

CraxsRAT aynı zamanda uygulamaları yönetmek için de donatılmıştır. Bu, yüklü uygulamaların listesini almak, bunları etkinleştirmek veya devre dışı bırakmak, açmak veya kapatmak ve hatta silmek gibi görevleri içerir. CraxsRAT, ekran kontrolünün yanı sıra ekranı kilitleme veya kilidini açma kapasitesine de sahiptir ve kötü niyetli eylemlerini gizlemek için ekranı karartabilir. Kötü amaçlı yazılım, yeteneklerini dosyaları açma, taşıma, kopyalama, indirme, yükleme, şifreleme ve şifre çözme gibi dosya yönetimi görevlerine kadar genişletir.

CraxsRAT, erişilen web sitelerini izleme ve belirli sayfaların açılmasını zorunlu kılma yeteneğine sahiptir. Bu RAT, yükleri kendisi indirip çalıştırarak veya mağdurları zorla açılan kötü amaçlı web siteleri aracılığıyla kandırarak enfeksiyon zincirlerini başlatabilir. Sonuç olarak, teorik olarak bu program, cihazlara daha özel truva atları, fidye yazılımları ve diğer kötü amaçlı yazılım türlerini yerleştirmek için kullanılabilir.

CraxsRAT, telefonun kişilerini okuyarak, silerek ve yenilerini ekleyerek yönetme kapasitesine sahiptir. Ek olarak, tehdit programı arama kayıtlarını (gelen, giden ve cevapsız aramalar dahil) inceleme, telefon konuşmalarını kaydetme ve hatta arama başlatma konusunda uzmandır. Benzer şekilde, Truva atı SMS mesajlarına (gönderilen ve alınan mesajların yanı sıra taslaklara) erişebilir ve bunları gönderebilir. Telefon görüşmeleri ve kısa mesajlarla ilgili bu özellikler CraxsRAT'ı Ücretli Sahtekarlık kötü amaçlı yazılımı olarak kullanılacak şekilde konumlandırıyor.

RAT, panoda saklanan içeriğe (yani kopyala-yapıştır arabelleğine) erişebilir. CraxsRAT ayrıca çeşitli hesapları ve oturum açma kimlik bilgilerini de hedefler. Promosyon materyalinde listelenen örnekler arasında belirtilmemiş e-postalar, Facebook ve Telegram hesapları yer alıyor.

Kötü amaçlı yazılım geliştiricilerinin sıklıkla yazılımlarını iyileştirdiğini ve CraxsRAT'ın da farklı olmadığını vurgulamak önemlidir. Sonuç olarak, bu enfeksiyonlar yalnızca kişiselleştirilebilir doğaları nedeniyle çeşitlilik göstermekle kalmıyor, aynı zamanda yeni eklenen özelliklerin eklenmesi nedeniyle de farklılıklar gösteriyor.