為什麼 Android 用戶應該警惕 CraxsRAT 移動惡意軟件

Android 用戶需要謹慎行事，因為一種名為 CraxsRAT 的新移動惡意軟件威脅已被識別，引發了對其數字安全的嚴重擔憂。揭露該惡意軟件背後的開發人員的真實身份揭示了該威脅的程度和復雜性。

網絡安全公司 Cyfirma 進行了一項調查，最終曝光了開發者的身份，該開發者的網絡別名為“EVLF DEV”，過去八年一直在敘利亞活躍。此人負責創建和銷售兩種名為 CypherRAT 和 CraxsRAT 的遠程訪問木馬 (RAT)，通過將這些惡意工具出售給各種威脅參與者，賺取了超過 75,000 美元。此外，Cyfirma 已將“EVLF DEV”識別為惡意軟件即服務 (MaaS) 運營商，這表明網絡犯罪活動範圍更廣、更有組織。

raxsRAT 移動惡意軟件有什麼作用？

CraxsRAT 特別令人擔憂的是它的可訪問性和對惡意目的的適應性。過去三年來，“EVLF DEV”一直在 Surface 網絡商店上營銷 CraxsRAT，並已售出至少 100 個終身許可證。這種 Android RAT 提供了一系列危險功能，包括生成高度混淆的軟件包，使威脅參與者能夠定制他們的攻擊，甚至使用 WebView 頁面注入。

此外，CraxsRAT 構建器包括“快速安裝”功能，旨在生成具有最小安裝權限的應用程序，從而使安全系統檢測起來更具挑戰性。然而，安裝後，惡意軟件允許威脅行為者請求額外的權限，包括可訪問性設置，這對於訪問設備屏幕和擊鍵至關重要。這種靈活性使攻擊者能夠操縱安裝後過程，進一步增強他們對受感染設備的控制。

CraxsRAT 竭盡全力使自己難以從受感染的設備中刪除。每當檢測到嘗試卸載應用程序時，其“超級模組”功能就會故意使設備崩潰。這種持久性給試圖清除設備中這種惡意軟件的用戶帶來了重大挑戰。

一旦 CraxsRAT 滲透到設備中，它就有能力提取大量敏感信息。這包括訪問設備的精確位置、讀取和竊取聯繫信息、訪問設備存儲以及讀取消息和通話記錄的能力。這些功能可能會導致嚴重的隱私洩露，並可能導致毫無戒心的 Android 用戶遭受財務或身份盜竊。

Cyfirma 對“EVLF DEV”活動的調查發現了一個擁有超過 10,000 名訂閱者的 Telegram 頻道。此外，與該惡意軟件開發商相關的一個加密貨幣錢包顯示，在至少三年的時間內通過銷售 RAT 獲得了巨額收入。 Cyfirma 採取主動措施，聯繫了加密貨幣錢包公司，導致威脅行為者的資產被凍結，等待身份驗證。

Android 用戶遇到 raxsRAT 移動惡意軟件時應該做什麼？

由於這些行為，“EVLF DEV”訴諸加密討論論壇來討論他們的困境，無意中為 Cyfirma 提供了對對手身份的進一步了解，包括他們的真實姓名、各種用戶名、IP 地址和電子郵件地址。這些發現代表了在識別和應對這一危險的網絡威脅方面取得的重大進展。

鑑於這些發現，建議 Android 用戶保持警惕並採取適當的預防措施來保護其設備免受 CraxsRAT 惡意軟件的侵害。這包括定期更新其設備和應用程序、避免可疑下載以及利用信譽良好的防病毒軟件來檢測和消除潛在威脅。此外，及時了解新出現的網絡安全威脅及其潛在影響對於在日益數字化的世界中保護個人數據和隱私至關重要。