为什么 Android 用户应该警惕 CraxsRAT 移动恶意软件

Android 用户需要谨慎行事，因为一种名为 CraxsRAT 的新移动恶意软件威胁已被识别，引发了对其数字安全的严重担忧。揭露该恶意软件背后的开发人员的真实身份揭示了该威胁的程度和复杂性。

网络安全公司 Cyfirma 进行了一项调查，最终曝光了开发者的身份，该开发者的网络别名为“EVLF DEV”，过去八年一直在叙利亚活跃。此人负责创建和销售两种名为 CypherRAT 和 CraxsRAT 的远程访问木马 (RAT)，通过将这些恶意工具出售给各种威胁参与者，赚取了超过 75,000 美元。此外，Cyfirma 已将“EVLF DEV”识别为恶意软件即服务 (MaaS) 运营商，这表明网络犯罪活动范围更广、更有组织。

raxsRAT 移动恶意软件有什么作用？

CraxsRAT 特别令人担忧的是它的可访问性和对恶意目的的适应性。过去三年来，“EVLF DEV”一直在 Surface 网络商店上营销 CraxsRAT，并已售出至少 100 个终身许可证。这种 Android RAT 提供了一系列危险功能，包括生成高度混淆的软件包，使威胁参与者能够定制他们的攻击，甚至使用 WebView 页面注入。

此外，CraxsRAT 构建器包括“快速安装”功能，旨在生成具有最小安装权限的应用程序，从而使安全系统检测起来更具挑战性。然而，安装后，恶意软件允许威胁行为者请求额外的权限，包括可访问性设置，这对于访问设备屏幕和击键至关重要。这种灵活性使攻击者能够操纵安装后过程，进一步增强他们对受感染设备的控制。

CraxsRAT 竭尽全力使自己难以从受感染的设备中删除。每当检测到尝试卸载应用程序时，其“超级模组”功能就会故意使设备崩溃。这种持久性给试图清除设备中这种恶意软件的用户带来了重大挑战。

一旦 CraxsRAT 渗透到设备中，它就有能力提取大量敏感信息。这包括访问设备的精确位置、读取和窃取联系信息、访问设备存储以及读取消息和通话记录的能力。这些功能可能会导致严重的隐私泄露，并可能导致毫无戒心的 Android 用户遭受财务或身份盗窃。

Cyfirma 对“EVLF DEV”活动的调查发现了一个拥有超过 10,000 名订阅者的 Telegram 频道。此外，与该恶意软件开发商相关的一个加密货币钱包显示，在至少三年的时间内通过销售 RAT 获得了巨额收入。 Cyfirma 采取主动措施，联系了加密货币钱包公司，导致威胁行为者的资产被冻结，等待身份验证。

Android 用户遇到 raxsRAT 移动恶意软件时应该做什么？

由于这些行为，“EVLF DEV”诉诸加密讨论论坛来讨论他们的困境，无意中为 Cyfirma 提供了对对手身份的进一步了解，包括他们的真实姓名、各种用户名、IP 地址和电子邮件地址。这些发现代表了在识别和应对这一危险的网络威胁方面取得的重大进展。

鉴于这些发现，建议 Android 用户保持警惕并采取适当的预防措施来保护其设备免受 CraxsRAT 恶意软件的侵害。这包括定期更新其设备和应用程序、避免可疑下载以及利用信誉良好的防病毒软件来检测和消除潜在威胁。此外，及时了解新出现的网络安全威胁及其潜在影响对于在日益数字化的世界中保护个人数据和隐私至关重要。