Γιατί οι χρήστες Android πρέπει να προσέχουν από κακόβουλο λογισμικό CraxsRAT για κινητά

Οι χρήστες Android πρέπει να είναι προσεκτικοί καθώς έχει εντοπιστεί μια νέα απειλή κακόβουλου λογισμικού για κινητά, γνωστή ως CraxsRAT, εγείροντας σοβαρές ανησυχίες για την ψηφιακή τους ασφάλεια. Η αποκάλυψη της πραγματικής ταυτότητας του προγραμματιστή πίσω από αυτό το κακόβουλο λογισμικό ρίχνει φως στην έκταση και την πολυπλοκότητα αυτής της απειλής.

Η εταιρεία κυβερνοασφάλειας Cyfirma διεξήγαγε έρευνα που οδήγησε στην αποκάλυψη της ταυτότητας του προγραμματιστή, ο οποίος λειτουργεί με το διαδικτυακό ψευδώνυμο «EVLF DEV» και δραστηριοποιείται στη Συρία τα τελευταία οκτώ χρόνια. Αυτό το άτομο ήταν υπεύθυνο για τη δημιουργία και την πώληση δύο trojans απομακρυσμένης πρόσβασης (RAT) που ονομάζονται CypherRAT και CraxsRAT, με περισσότερα από 75.000 $ πουλώντας αυτά τα κακόβουλα εργαλεία σε διάφορους παράγοντες απειλών. Επιπλέον, η Cyfirma έχει αναγνωρίσει το «EVLF DEV» ως χειριστή κακόβουλου λογισμικού ως υπηρεσίας (MaaS), γεγονός που προτείνει μια ευρύτερη και πιο οργανωμένη επιχείρηση εγκληματικότητας στον κυβερνοχώρο.

Τι κάνει το RaxsRAT Mobile Malware;

Αυτό που κάνει το CraxsRAT ιδιαίτερα ανησυχητικό είναι η προσβασιμότητα και η προσαρμοστικότητά του για κακόβουλους σκοπούς. Η «EVLF DEV» εμπορεύεται το CraxsRAT τα τελευταία τρία χρόνια σε ένα κατάστημα επιφανειακών ιστοσελίδων, όπου έχει πουλήσει τουλάχιστον 100 άδειες ζωής. Αυτό το Android RAT προσφέρει μια σειρά επικίνδυνων δυνατοτήτων, συμπεριλαμβανομένης της δημιουργίας πακέτων εξαιρετικά ασαφούς που επιτρέπουν στους παράγοντες απειλών να προσαρμόζουν τις επιθέσεις τους, ακόμη και χρησιμοποιώντας ενέσεις σελίδων WebView.

Επιπλέον, το πρόγραμμα δημιουργίας CraxsRAT περιλαμβάνει μια λειτουργία "γρήγορης εγκατάστασης" που έχει σχεδιαστεί για την παραγωγή εφαρμογών με ελάχιστες άδειες εγκατάστασης, γεγονός που καθιστά πιο δύσκολο τον εντοπισμό των συστημάτων ασφαλείας. Μετά την εγκατάσταση, ωστόσο, το κακόβουλο λογισμικό επιτρέπει στους παράγοντες απειλών να ζητούν πρόσθετες άδειες, συμπεριλαμβανομένων των ρυθμίσεων προσβασιμότητας, οι οποίες είναι ζωτικής σημασίας για την απόκτηση πρόσβασης στην οθόνη και τα πλήκτρα μιας συσκευής. Αυτή η ευελιξία επιτρέπει στους εισβολείς να χειριστούν τη διαδικασία μετά την εγκατάσταση, ενισχύοντας περαιτέρω τον έλεγχό τους πάνω στη συσκευή που έχει παραβιαστεί.

Το CraxsRAT καταβάλλει κάθε δυνατή προσπάθεια ώστε να είναι δύσκολο να αφαιρεθεί από μολυσμένες συσκευές. Η λειτουργία «super mod» διακόπτει σκόπιμα τη συσκευή κάθε φορά που εντοπίζεται μια προσπάθεια απεγκατάστασης της εφαρμογής. Αυτή η επιμονή αποτελεί σημαντική πρόκληση για τους χρήστες που προσπαθούν να απαλλάξουν τις συσκευές τους από αυτό το κακόβουλο λογισμικό.

Μόλις το CraxsRAT διεισδύσει σε μια συσκευή, έχει την ικανότητα να εξάγει πληθώρα ευαίσθητων πληροφοριών. Αυτό περιλαμβάνει τη δυνατότητα πρόσβασης στην ακριβή τοποθεσία της συσκευής, ανάγνωσης και κλοπής πληροφοριών επαφών, πρόσβασης στο χώρο αποθήκευσης της συσκευής και ανάγνωσης μηνυμάτων και αρχείων καταγραφής κλήσεων. Αυτές οι δυνατότητες μπορούν να οδηγήσουν σε σοβαρές παραβιάσεις του απορρήτου και πιθανή κλοπή οικονομικών ή ταυτότητας για ανυποψίαστους χρήστες Android.

Η έρευνα της Cyfirma για τις δραστηριότητες του «EVLF DEV» οδήγησε στην ανακάλυψη ενός καναλιού Telegram με περισσότερους από 10.000 συνδρομητές. Επιπλέον, ένα πορτοφόλι κρυπτονομισμάτων που σχετίζεται με τον προγραμματιστή κακόβουλου λογισμικού αποκάλυψε σημαντικά κέρδη από την πώληση RAT σε μια περίοδο τουλάχιστον τριών ετών. Η Cyfirma έλαβε προληπτικά μέτρα επικοινωνώντας με την εταιρεία πορτοφολιών κρυπτονομισμάτων, που οδήγησε σε πάγωμα των περιουσιακών στοιχείων του παράγοντα απειλών εν αναμονή της επαλήθευσης ταυτότητας.

Τι πρέπει να κάνουν οι χρήστες Android όταν αντιμετωπίζουν κακόβουλο λογισμικό RaxsRAT Mobile;

Ως αποτέλεσμα αυτών των ενεργειών, ο «EVLF DEV» κατέφυγε σε ένα φόρουμ συζήτησης κρυπτογράφησης για να συζητήσει την κατάστασή του, παρέχοντας ακούσια στην Cyfirma περαιτέρω πληροφορίες για την ταυτότητα του αντιπάλου, συμπεριλαμβανομένου του πραγματικού του ονόματος, διαφόρων ονομάτων χρήστη, διεύθυνσης IP και διεύθυνσης email. Αυτές οι ανακαλύψεις αντιπροσωπεύουν σημαντική πρόοδο στον εντοπισμό και την καταπολέμηση αυτής της επικίνδυνης απειλής στον κυβερνοχώρο.

Υπό το φως αυτών των ευρημάτων, συνιστάται στους χρήστες Android να παραμείνουν σε επαγρύπνηση και να λαμβάνουν τις κατάλληλες προφυλάξεις για να προστατεύσουν τις συσκευές τους από το κακόβουλο λογισμικό CraxsRAT. Αυτό περιλαμβάνει την τακτική ενημέρωση των συσκευών και των εφαρμογών τους, την αποφυγή ύποπτων λήψεων και τη χρήση αξιόπιστου λογισμικού προστασίας από ιούς για τον εντοπισμό και την αφαίρεση πιθανών απειλών. Επιπλέον, η ενημέρωση σχετικά με τις αναδυόμενες απειλές για την ασφάλεια στον κυβερνοχώρο και τις πιθανές επιπτώσεις τους είναι απαραίτητη για τη διαφύλαξη των προσωπικών δεδομένων και του απορρήτου σε έναν όλο και πιο ψηφιακό κόσμο.