CraxsRAT 移动恶意软件

据报道，网络安全专家发现了负责开发远程访问木马（RAT）（称为 CypherRAT 和 CraxsRAT）的个人的真实身份。

该威胁行为者以在线别名“EVLF DEV”运营，过去八年一直驻扎在叙利亚，据信通过将这两种 RAT 分发给各种威胁实体，已赚取了超过 75,000 美元。披露的信息还表明此人担任恶意软件即服务 (MaaS) 运营商。

在过去的三年里，EVLF DEV 一直提供 CraxsRAT，它被认为是危害性更大、更复杂的 Android RAT 之一。该 RAT 已在表面网络商店上提供，迄今为止已售出大约 100 个终身许可证。

CraxsRAT Android 恶意软件具有高度可定制性

CraxsRAT 生成复杂的混淆包，使恶意行为者能够根据预期的攻击类型（包括 WebView 页面注入）灵活地定制其内容。威胁行为者可以自由确定用于设备渗透的应用程序名称和图标，以及恶意软件将拥有的特定功能。

此外，该构建器还包含快速安装功能，可以以最小的安装权限创建应用程序以逃避检测。但是，安装后，威胁行为者保留请求激活附加权限的能力。

该木马利用 Android 辅助服务来获取各种功能，包括键盘记录、触摸屏操作和自动选项选择。 CraxsRAT 的功能范围广泛，包括录制和直播设备屏幕等任务。它能够使用手机的麦克风以及前后摄像头获取录音或进行实时监控。该特洛伊木马可以通过地理定位或监控实时移动来跟踪被入侵设备的位置。因此，它能够精确定位受害者的确切位置。

网络犯罪分子还可以使用“超级模组”选项，使 CraxsRAT 无法从受感染的设备中删除。这是通过每次检测到尝试卸载应用程序时触发崩溃来实现的。

CraxsRAT 窃取受害者设备的敏感和私人数据

CraxsRAT 还可以管理应用程序。这包括获取已安装应用程序的列表、启用或禁用它们、打开或关闭、甚至删除它们等任务。除了屏幕控制之外，CraxsRAT 还能够锁定或解锁屏幕，并且可以使屏幕变暗以掩盖其恶意行为。该恶意软件将其功能扩展到文件管理任务，例如打开、移动、复制、下载、上传、加密和解密文件。

CraxsRAT 能够监控访问的网站并强制打开特定页面。该 RAT 可以通过自行下载和执行有效负载或通过强制打开恶意网站欺骗受害者来启动感染链。因此，从理论上讲，该程序可用于在设备中植入更专门的木马、勒索软件和其他形式的恶意软件。

CraxsRAT 能够通过读取、删除和添加新联系人来操纵手机的联系人。此外，该威胁程序还擅长检查通话记录（包括来电、去电和未接来电）、记录电话交谈，甚至发起呼叫。同样，该木马可以访问短信（发送和接收的短信，以及草稿）并发送它们。这些与电话和短信相关的功能使 CraxsRAT 被用作长途电话欺诈恶意软件。

RAT 能够访问存储在剪贴板（即复制粘贴缓冲区）中的内容。 CraxsRAT 还针对各种帐户及其登录凭据。其宣传材料中列出的示例包括未具体说明的电子邮件、Facebook 和 Telegram 帐户。

需要强调的是，恶意软件开发人员经常改进他们的软件，CraxsRAT 也不例外。因此，这些感染不仅由于其可定制的性质而表现出多样性，而且由于引入新合并的功能而表现出变化。