Giảm giá nhiều giấy phép
Threat Database Mobile Malware Phần mềm độc hại di động CraxsRAT

Phần mềm độc hại di động CraxsRAT

Đến năm Mezo năm Mobile Malware, Remote Administration Tools
Dịch sang:
Tiếng Việt Nam

Các chuyên gia an ninh mạng được cho là đã phát hiện ra danh tính thực sự của cá nhân chịu trách nhiệm phát triển Trojan truy cập từ xa (RAT) được gọi là CypherRAT và CraxsRAT.

Hoạt động dưới bí danh trực tuyến 'EVLF DEV' và có trụ sở tại Syria trong 8 năm qua, kẻ đe dọa này được cho là đã kiếm được hơn 75.000 USD bằng cách phân phối hai RAT này cho các thực thể đe dọa khác nhau. Thông tin được tiết lộ cũng chỉ ra rằng cá nhân này đóng vai trò là nhà điều hành Phần mềm độc hại dưới dạng dịch vụ (MaaS).

Trong ba năm qua, EVLF DEV đã cung cấp CraxsRAT, được coi là một trong những RAT Android tinh vi và có hại hơn. RAT này đã có sẵn trên một cửa hàng trực tuyến trên bề mặt, với khoảng 100 giấy phép trọn đời đã được bán cho đến nay.

Phần mềm độc hại CraxsRAT Android có khả năng tùy biến cao

CraxsRAT tạo ra các gói bị xáo trộn phức tạp, cho phép các tác nhân độc hại linh hoạt điều chỉnh nội dung của chúng dựa trên kiểu tấn công dự kiến, bao gồm cả việc chèn trang WebView. Các tác nhân đe dọa có quyền tự do xác định tên và biểu tượng của ứng dụng để xâm nhập vào thiết bị, cũng như các chức năng cụ thể mà phần mềm độc hại sẽ sở hữu.

Hơn nữa, trình xây dựng này còn kết hợp tính năng cài đặt nhanh giúp tạo ra các ứng dụng có quyền cài đặt tối thiểu để tránh bị phát hiện. Tuy nhiên, sau khi cài đặt, tác nhân đe dọa vẫn có khả năng yêu cầu kích hoạt các quyền bổ sung.

Trojan này tận dụng Dịch vụ trợ năng của Android để đạt được nhiều tính năng khác nhau, bao gồm ghi lại thao tác bàn phím, thao tác trên màn hình cảm ứng và lựa chọn tùy chọn tự động. Khả năng đa dạng của CraxsRAT bao gồm các tác vụ như ghi và phát trực tiếp màn hình của thiết bị. Nó có thể thu được các bản ghi âm hoặc tham gia giám sát theo thời gian thực bằng cách sử dụng micrô của điện thoại cũng như cả camera trước và sau. Trojan có thể theo dõi vị trí của thiết bị bị vi phạm thông qua định vị địa lý hoặc bằng cách theo dõi chuyển động trực tiếp. Kết quả là nó có khả năng xác định chính xác vị trí của nạn nhân.

Tùy chọn 'siêu mod' cũng có sẵn cho tội phạm mạng để giúp CraxsRAT có khả năng chống lại việc xóa khỏi các thiết bị bị nhiễm. Điều này đạt được bằng cách gây ra sự cố mỗi khi phát hiện thấy nỗ lực gỡ cài đặt ứng dụng.

CraxsRAT đánh cắp thiết bị của nạn nhân dữ liệu nhạy cảm và riêng tư

CraxsRAT cũng được trang bị để quản lý các ứng dụng. Điều này bao gồm các tác vụ như lấy danh sách các ứng dụng đã cài đặt, bật hoặc tắt chúng, mở hoặc đóng và thậm chí xóa chúng. Bên cạnh khả năng điều khiển màn hình, CraxsRAT còn có khả năng khóa hoặc mở khóa màn hình và có thể làm tối màn hình để che giấu các hành động độc hại của nó. Phần mềm độc hại mở rộng khả năng của nó sang các tác vụ quản lý tệp, chẳng hạn như mở, di chuyển, sao chép, tải xuống, tải lên, mã hóa và giải mã tệp.

CraxsRAT sở hữu khả năng giám sát các trang web được truy cập và thực thi việc mở các trang cụ thể. RAT này có thể bắt đầu chuỗi lây nhiễm bằng cách tải xuống và thực thi tải trọng hoặc bằng cách lừa nạn nhân làm như vậy thông qua các trang web độc hại được mở một cách cưỡng bức. Do đó, về mặt lý thuyết, chương trình này có thể được sử dụng để cấy vào các thiết bị có trojan, ransomware chuyên dụng hơn và các dạng phần mềm độc hại khác.

CraxsRAT có khả năng thao tác danh bạ điện thoại bằng cách đọc, xóa và thêm danh bạ mới. Ngoài ra, chương trình đe dọa còn thành thạo trong việc kiểm tra nhật ký cuộc gọi (bao gồm các cuộc gọi đến, cuộc gọi đi và cuộc gọi nhỡ), ghi âm các cuộc trò chuyện trên điện thoại và thậm chí là bắt đầu cuộc gọi. Tương tự, Trojan có thể truy cập tin nhắn SMS (cả tin nhắn đã gửi và nhận, cũng như tin nhắn nháp) và gửi chúng. Các tính năng này liên quan đến cuộc gọi điện thoại và tin nhắn văn bản khiến CraxsRAT có thể được sử dụng làm phần mềm độc hại Toll Fraud.

RAT có thể truy cập nội dung được lưu trữ trong bảng ghi tạm (tức là bộ đệm sao chép-dán). CraxsRAT cũng nhắm mục tiêu vào nhiều tài khoản khác nhau và thông tin đăng nhập của chúng. Trong số các ví dụ được liệt kê trong tài liệu quảng cáo của nó có các email, tài khoản Facebook và Telegram không xác định.

Điều quan trọng cần nhấn mạnh là các nhà phát triển phần mềm độc hại thường tinh chỉnh phần mềm của họ và CraxsRAT cũng không ngoại lệ. Do đó, những sự lây nhiễm này không chỉ thể hiện sự đa dạng do tính chất có thể tùy chỉnh của chúng mà còn thể hiện các biến thể do sự ra đời của các tính năng mới được tích hợp.

 

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...