CraxsRAT 移動惡意軟件

據報導，網絡安全專家發現了負責開發遠程訪問木馬（RAT）（稱為 CypherRAT 和 CraxsRAT）的個人的真實身份。

該威脅行為者以在線別名“EVLF DEV”運營，過去八年一直駐紮在敘利亞，據信通過將這兩種 RAT 分發給各種威脅實體，已賺取了超過 75,000 美元。披露的信息還表明此人擔任惡意軟件即服務 (MaaS) 運營商。

在過去的三年裡，EVLF DEV 一直提供 CraxsRAT，它被認為是危害性更大、更複雜的 Android RAT 之一。該 RAT 已在表面網絡商店上提供，迄今為止已售出大約 100 個終身許可證。

CraxsRAT Android 惡意軟件具有高度可定制性

CraxsRAT 生成複雜的混淆包，使惡意行為者能夠根據預期的攻擊類型（包括 WebView 頁面注入）靈活地定制其內容。威脅行為者可以自由確定用於設備滲透的應用程序名稱和圖標，以及惡意軟件將擁有的特定功能。

此外，該構建器還包含快速安裝功能，可以以最小的安裝權限創建應用程序以逃避檢測。但是，安裝後，威脅行為者保留請求激活附加權限的能力。

該木馬利用 Android 輔助服務來獲取各種功能，包括鍵盤記錄、觸摸屏操作和自動選項選擇。 CraxsRAT 的功能範圍廣泛，包括錄製和直播設備屏幕等任務。它能夠使用手機的麥克風以及前後攝像頭獲取錄音或進行實時監控。該特洛伊木馬可以通過地理定位或監控實時移動來跟踪被入侵設備的位置。因此，它能夠精確定位受害者的確切位置。

網絡犯罪分子還可以使用“超級模組”選項，使 CraxsRAT 無法從受感染的設備中刪除。這是通過每次檢測到嘗試卸載應用程序時觸發崩潰來實現的。

CraxsRAT 竊取受害者設備的敏感和私人數據

CraxsRAT 還可以管理應用程序。這包括獲取已安裝應用程序的列表、啟用或禁用它們、打開或關閉甚至刪除它們等任務。除了屏幕控制之外，CraxsRAT 還能夠鎖定或解鎖屏幕，並且可以使屏幕變暗以掩蓋其惡意行為。該惡意軟件將其功能擴展到文件管理任務，例如打開、移動、複製、下載、上傳、加密和解密文件。

CraxsRAT 能夠監控訪問的網站並強制打開特定頁面。該 RAT 可以通過自行下載並執行有效負載或通過強制打開惡意網站欺騙受害者來啟動感染鏈。因此，從理論上講，該程序可用於在設備中植入更專門的木馬、勒索軟件和其他形式的惡意軟件。

CraxsRAT 能夠通過讀取、刪除和添加新聯繫人來操縱手機的聯繫人。此外，該威脅程序還擅長檢查通話記錄（包括來電、去電和未接來電）、記錄電話交談，甚至發起呼叫。同樣，該木馬可以訪問短信（發送和接收的短信，以及草稿）並發送它們。這些與電話和短信相關的功能使 CraxsRAT 被用作長途電話欺詐惡意軟件。

RAT 能夠訪問存儲在剪貼板（即復制粘貼緩衝區）中的內容。 CraxsRAT 還針對各種帳戶及其登錄憑據。其宣傳材料中列出的示例包括未具體說明的電子郵件、Facebook 和 Telegram 帳戶。

需要強調的是，惡意軟件開發人員經常改進他們的軟件，CraxsRAT 也不例外。因此，這些感染不僅由於其可定制的性質而表現出多樣性，而且由於引入新合併的功能而表現出變化。