Dlaczego użytkownicy Androida powinni wystrzegać się mobilnego złośliwego oprogramowania CraxsRAT

Użytkownicy Androida muszą zachować ostrożność, ponieważ wykryto nowe mobilne zagrożenie złośliwym oprogramowaniem znane jako CraxsRAT, które budzi poważne obawy dotyczące ich bezpieczeństwa cyfrowego. Odkrycie prawdziwej tożsamości twórcy tego szkodliwego oprogramowania rzuca światło na zakres i złożoność tego zagrożenia.

Firma Cyfirma zajmująca się cyberbezpieczeństwem przeprowadziła dochodzenie, które doprowadziło do ujawnienia tożsamości programisty, który działa pod pseudonimem internetowym „EVLF DEV” i działa w Syrii od ośmiu lat. Osoba ta była odpowiedzialna za utworzenie i sprzedaż dwóch trojanów dostępu zdalnego (RAT) o nazwach CypherRAT i CraxsRAT, zbierając ponad 75 000 dolarów na sprzedaży tych złośliwych narzędzi różnym podmiotom zagrażającym. Ponadto Cyfirma zidentyfikowała „EVLF DEV” jako operatora złośliwego oprogramowania jako usługi (MaaS), co sugeruje szersze i lepiej zorganizowane działanie cyberprzestępcze.

Co robi raxsRAT Mobile Malware?

Tym, co sprawia, że CraxsRAT jest szczególnie niepokojący, jest jego dostępność i możliwość przystosowania się do złośliwych celów. „EVLF DEV” od trzech lat sprzedaje CraxsRAT w sklepie internetowym, gdzie sprzedał co najmniej 100 licencji dożywotnich. Ten Android RAT oferuje szereg niebezpiecznych możliwości, w tym generowanie mocno zaciemnionych pakietów, które umożliwiają cyberprzestępcom dostosowywanie ataków, nawet przy użyciu wstrzykiwań stron WebView.

Co więcej, kreator CraxsRAT zawiera funkcję „szybkiej instalacji”, zaprojektowaną w celu tworzenia aplikacji z minimalnymi uprawnieniami do instalacji, co utrudnia wykrycie ich przez systemy bezpieczeństwa. Jednak po instalacji złośliwe oprogramowanie umożliwia cyberprzestępcom zażądanie dodatkowych uprawnień, w tym ustawień dostępności, które są kluczowe dla uzyskania dostępu do ekranu urządzenia i naciśnięć klawiszy. Ta elastyczność umożliwia atakującym manipulowanie procesem poinstalacyjnym, co jeszcze bardziej zwiększa kontrolę nad zaatakowanym urządzeniem.

CraxsRAT dokłada wszelkich starań, aby utrudnić usunięcie go z zainfekowanych urządzeń. Funkcja „super mod” celowo powoduje awarię urządzenia po wykryciu próby odinstalowania aplikacji. Ta trwałość stanowi poważne wyzwanie dla użytkowników próbujących pozbyć się tego szkodliwego oprogramowania ze swoich urządzeń.

Gdy CraxsRAT przeniknie do urządzenia, może wydobyć mnóstwo poufnych informacji. Obejmuje to możliwość uzyskania dostępu do dokładnej lokalizacji urządzenia, odczytywania i kradzieży informacji kontaktowych, uzyskiwania dostępu do pamięci urządzenia oraz odczytywania wiadomości i rejestrów połączeń. Funkcje te mogą skutkować poważnymi naruszeniami prywatności i potencjalną kradzieżą finansów lub tożsamości niczego niepodejrzewających użytkowników Androida.

Dochodzenie Cyfirmy w sprawie działalności „EVLF DEV” doprowadziło do odkrycia kanału na Telegramie, który może pochwalić się ponad 10 000 abonentów. Ponadto portfel kryptowalut powiązany z twórcą złośliwego oprogramowania ujawnił znaczne zyski ze sprzedaży RAT przez okres co najmniej trzech lat. Cyfirma podjęła proaktywne kroki, kontaktując się z firmą zajmującą się portfelem kryptowalut, co doprowadziło do zamrożenia aktywów ugrupowania zagrażającego do czasu weryfikacji tożsamości.

Co powinni zrobić użytkownicy Androida w przypadku napotkania złośliwego oprogramowania raxsRAT Mobile?

W wyniku tych działań „EVLF DEV” skorzystał z forum dyskusyjnego dotyczącego kryptowalut, aby omówić swoją sytuację, nieumyślnie zapewniając Cyfirmie dalszy wgląd w tożsamość przeciwnika, w tym jego prawdziwe imię i nazwisko, różne nazwy użytkownika, adres IP i adres e-mail. Odkrycia te stanowią znaczący postęp w identyfikowaniu i zwalczaniu tego niebezpiecznego zagrożenia cybernetycznego.

W świetle tych ustaleń użytkownikom Androida zaleca się zachowanie czujności i podjęcie odpowiednich środków ostrożności w celu ochrony swoich urządzeń przed złośliwym oprogramowaniem CraxsRAT. Obejmuje to regularne aktualizowanie urządzeń i aplikacji, unikanie pobierania podejrzanych plików oraz korzystanie z renomowanego oprogramowania antywirusowego w celu wykrywania i usuwania potencjalnych zagrożeń. Ponadto bycie na bieżąco z pojawiającymi się zagrożeniami dla cyberbezpieczeństwa i ich potencjalnymi konsekwencjami jest niezbędne do ochrony danych osobowych i prywatności w coraz bardziej cyfrowym świecie.