Perché gli utenti Android dovrebbero fare attenzione al malware CraxsRAT Mobile

Gli utenti Android devono prestare attenzione poiché è stata identificata una nuova minaccia malware mobile nota come CraxsRAT, sollevando serie preoccupazioni sulla loro sicurezza digitale. La scoperta della vera identità dello sviluppatore dietro questo malware fa luce sulla portata e sulla sofisticatezza di questa minaccia.

La società di sicurezza informatica Cyfirma ha condotto un'indagine che ha portato alla rivelazione dell'identità dello sviluppatore, che opera sotto lo pseudonimo online "EVLF DEV" ed è attivo in Siria negli ultimi otto anni. Questo individuo è stato responsabile della creazione e della vendita di due trojan di accesso remoto (RAT) denominati CypherRAT e CraxsRAT, guadagnando più di 75.000 dollari vendendo questi strumenti dannosi a vari autori di minacce. Inoltre, Cyfirma ha identificato "EVLF DEV" come operatore di malware-as-a-service (MaaS), il che suggerisce un'operazione criminale informatica più ampia e organizzata.

Cosa fa raxsRAT Mobile Malware?

Ciò che rende CraxsRAT particolarmente allarmante è la sua accessibilità e adattabilità per scopi dannosi. "EVLF DEV" ha commercializzato CraxsRAT negli ultimi tre anni su un negozio web di superficie, dove ha venduto almeno 100 licenze a vita. Questo RAT Android offre una gamma di funzionalità pericolose, inclusa la generazione di pacchetti altamente offuscati che consentono agli autori delle minacce di personalizzare i propri attacchi, anche utilizzando iniezioni di pagine WebView.

Inoltre, il builder CraxsRAT include una funzionalità di "installazione rapida" progettata per produrre applicazioni con autorizzazioni di installazione minime, rendendone più difficile il rilevamento da parte dei sistemi di sicurezza. Dopo l'installazione, tuttavia, il malware consente agli autori delle minacce di richiedere autorizzazioni aggiuntive, comprese le impostazioni di accessibilità, che sono cruciali per ottenere l'accesso allo schermo e alla sequenza dei tasti di un dispositivo. Questa flessibilità consente agli aggressori di manipolare il processo post-installazione, migliorando ulteriormente il loro controllo sul dispositivo compromesso.

CraxsRAT fa di tutto per rendersi difficile da rimuovere dai dispositivi infetti. La sua funzionalità "super mod" blocca intenzionalmente il dispositivo ogni volta che viene rilevato un tentativo di disinstallare l'applicazione. Questa persistenza rappresenta una sfida significativa per gli utenti che tentano di liberare i propri dispositivi da questo malware.

Una volta che CraxsRAT si infiltra in un dispositivo, ha la capacità di estrarre una grande quantità di informazioni sensibili. Ciò include la possibilità di accedere alla posizione precisa del dispositivo, leggere e rubare informazioni di contatto, accedere alla memoria del dispositivo e leggere messaggi e registri delle chiamate. Queste funzionalità possono comportare gravi violazioni della privacy e potenziali furti finanziari o di identità per gli ignari utenti Android.

L'indagine di Cyfirma sulle attività di "EVLF DEV" ha portato alla scoperta di un canale Telegram che vanta oltre 10.000 abbonati. Inoltre, un portafoglio di criptovaluta associato allo sviluppatore di malware ha rivelato guadagni sostanziali dalla vendita di RAT per un periodo di almeno tre anni. Cyfirma ha adottato misure proattive contattando la società di portafogli di criptovaluta, portando al congelamento delle risorse dell'autore della minaccia in attesa della verifica dell'identità.

Cosa dovrebbero fare gli utenti Android quando incontrano raxsRAT Mobile Malware?

Come risultato di queste azioni, "EVLF DEV" ha fatto ricorso a un forum di discussione sulle criptovalute per discutere della propria situazione, fornendo inavvertitamente a Cyfirma ulteriori informazioni sull'identità dell'avversario, inclusi il nome reale, vari nomi utente, indirizzo IP e indirizzo e-mail. Queste scoperte rappresentano un progresso significativo nell’identificazione e nella lotta contro questa pericolosa minaccia informatica.

Alla luce di questi risultati, si consiglia agli utenti Android di rimanere vigili e di adottare le precauzioni appropriate per proteggere i propri dispositivi dal malware CraxsRAT. Ciò include l'aggiornamento regolare dei dispositivi e delle applicazioni, l'evitare download sospetti e l'utilizzo di software antivirus affidabili per rilevare e rimuovere potenziali minacce. Inoltre, rimanere informati sulle minacce emergenti alla sicurezza informatica e sulle loro potenziali implicazioni è essenziale per salvaguardare i dati personali e la privacy in un mondo sempre più digitale.