Зловмисне програмне забезпечення для мобільних пристроїв CraxsRAT

Повідомляється, що експерти з кібербезпеки виявили справжню особу людини, відповідальної за розробку троянів віддаленого доступу (RAT), відомих як CypherRAT і CraxsRAT.

Діючи під псевдонімом «EVLF DEV» і базуючись у Сирії протягом останніх восьми років, вважається, що цей зловмисник заробив понад 75 000 доларів США, розповсюджуючи ці два RAT різним загрозливим організаціям. Розкрита інформація також вказує на те, що ця особа є оператором шкідливого програмного забезпечення як послуги (MaaS).

Протягом останніх трьох років EVLF DEV пропонує CraxsRAT, який вважається одним із найшкідливіших і складніших Android RAT. Цей RAT був доступний у зовнішньому веб-магазині, наразі продано приблизно 100 довічних ліцензій.

Зловмисне програмне забезпечення Android CraxsRAT легко налаштовується

CraxsRAT генерує хитромудро обфусковані пакети, надаючи зловмисникам гнучкість у адаптації свого вмісту на основі запланованого типу атаки, включаючи ін’єкції сторінки WebView. Зловмисники мають право визначати назву програми та піктограму для проникнення на пристрій, а також конкретні функції, якими володітиме зловмисне програмне забезпечення.

Крім того, конструктор містить функцію швидкого встановлення, яка створює програми з мінімальними дозволами на встановлення, щоб уникнути виявлення. Однак після інсталяції зловмисник зберігає можливість запитувати активацію додаткових дозволів.

Цей троян використовує служби доступності Android, щоб отримати різноманітні функції, включаючи клавіатурні журнали, керування сенсорним екраном і автоматичний вибір параметрів. Широкий діапазон можливостей CraxsRAT охоплює такі завдання, як запис і трансляція в прямому ефірі з екрана пристрою. Він може отримувати записи або здійснювати спостереження в режимі реального часу за допомогою мікрофона телефону, передньої та задньої камер. Троян може відстежувати місцезнаходження зламаного пристрою за допомогою геолокації або відстежуючи рухи в реальному часі. Завдяки цьому він має можливість визначити точне місцезнаходження жертви.

Для кіберзлочинців також доступна опція «супермоду», щоб зробити CraxsRAT стійким до видалення із заражених пристроїв. Це досягається за рахунок збою кожного разу, коли виявляється спроба видалити програму.

CraxsRAT викрадає конфіденційні та приватні дані пристроїв жертв

CraxsRAT також оснащений для керування програмами. Це включає такі завдання, як отримання списку встановлених програм, їх увімкнення та вимкнення, відкриття чи закриття та навіть видалення. Окрім керування екраном, CraxsRAT має можливість блокувати або розблокувати екран, а також затемнювати екран, щоб приховати його зловмисні дії. Зловмисне програмне забезпечення розширює свої можливості до завдань керування файлами, таких як відкриття, переміщення, копіювання, завантаження, завантаження, шифрування та дешифрування файлів.

CraxsRAT має можливість відстежувати доступні веб-сайти та примусово відкривати певні сторінки. Цей RAT може ініціювати ланцюги зараження, завантажуючи та виконуючи корисні навантаження самостійно, або обманом змушуючи жертв робити це через примусово відкриті шкідливі веб-сайти. У результаті, теоретично, цю програму можна використовувати для імплантації на пристрої більш спеціалізованих троянів, програм-вимагачів та інших форм шкідливого програмного забезпечення.

CraxsRAT має можливість маніпулювати контактами телефону, читаючи, видаляючи та додаючи нові. Крім того, загрозлива програма вміє вивчати журнали викликів (включаючи вхідні, вихідні та пропущені виклики), записувати телефонні розмови та навіть ініціювати виклики. Так само троян може отримати доступ до SMS-повідомлень (як надісланих, так і отриманих, а також чернеток) і відправити їх. Ці функції, пов’язані з телефонними дзвінками та текстовими повідомленнями, дозволяють використовувати CraxsRAT як зловмисне програмне забезпечення Toll Fraud.

RAT може отримати доступ до вмісту, що зберігається в буфері обміну (тобто буфер копіювання та вставлення). CraxsRAT також націлений на різні облікові записи та їхні облікові дані для входу. Серед прикладів, наведених у його рекламних матеріалах, є невказані електронні адреси, облікові записи Facebook і Telegram.

Важливо підкреслити, що розробники зловмисного програмного забезпечення часто вдосконалюють своє програмне забезпечення, і CraxsRAT нічим не відрізняється. Отже, ці інфекції не лише демонструють різноманітність завдяки своїй настроюваній природі, але й демонструють варіації через впровадження нових функцій.