CraxsRAT Mobile Malware

Berichten zufolge haben Cybersicherheitsexperten die wahre Identität der Person aufgedeckt, die für die Entwicklung der Remote Access Trojaner (RATs) namens CypherRAT und CraxsRAT verantwortlich ist.

Dieser Bedrohungsakteur, der unter dem Online-Alias „EVLF DEV“ operiert und seit acht Jahren in Syrien ansässig ist, soll durch die Verteilung dieser beiden RATs an verschiedene Bedrohungseinheiten mehr als 75.000 US-Dollar erwirtschaftet haben. Die offengelegten Informationen deuten auch darauf hin, dass diese Person als Malware-as-a-Service (MaaS)-Betreiber fungiert.

Seit drei Jahren bietet EVLF DEV CraxsRAT an, das als eines der schädlicheren und ausgefeilteren Android-RATs gilt. Dieses RAT ist in einem oberflächlichen Webshop erhältlich, wobei bisher etwa 100 lebenslange Lizenzen verkauft wurden.

Die CraxsRAT-Android-Malware ist hochgradig anpassbar

CraxsRAT generiert aufwendig verschleierte Pakete und gibt böswilligen Akteuren die Flexibilität, ihre Inhalte basierend auf der beabsichtigten Art des Angriffs anzupassen, einschließlich WebView-Seiteninjektionen. Die Bedrohungsakteure haben die Freiheit, den Namen und das Symbol der App für die Geräteinfiltration sowie die spezifischen Funktionalitäten der Malware zu bestimmen.

Darüber hinaus verfügt der Builder über eine Schnellinstallationsfunktion, die Anwendungen mit minimalen Installationsberechtigungen erstellt, um einer Erkennung zu entgehen. Nach der Installation behält der Bedrohungsakteur jedoch die Möglichkeit, die Aktivierung zusätzlicher Berechtigungen anzufordern.

Dieser Trojaner nutzt die Android Accessibility Services, um eine Vielzahl von Funktionen zu nutzen, darunter Keylogging, Touchscreen-Manipulation und automatische Optionsauswahl. Das umfangreiche Leistungsspektrum von CraxsRAT umfasst Aufgaben wie das Aufzeichnen und Live-Streaming des Gerätebildschirms. Mithilfe des Mikrofons des Telefons und der Vorder- und Rückseitenkameras ist es in der Lage, Aufzeichnungen zu erfassen oder eine Echtzeitüberwachung durchzuführen. Der Trojaner kann den Standort des angegriffenen Geräts durch Geolokalisierung oder durch Überwachung von Live-Bewegungen verfolgen. Dadurch ist es möglich, den genauen Standort des Opfers zu bestimmen.

Cyberkriminellen steht außerdem eine „Super-Mod“-Option zur Verfügung, um CraxsRAT vor der Entfernung von infizierten Geräten zu schützen. Dies wird dadurch erreicht, dass jedes Mal ein Absturz ausgelöst wird, wenn ein Deinstallationsversuch der App erkannt wird.

CraxsRAT stiehlt sensible und private Datengeräte von Opfern

CraxsRAT ist auch für die Verwaltung von Anwendungen ausgestattet. Dazu gehören Aufgaben wie das Abrufen der Liste der installierten Anwendungen, deren Aktivierung oder Deaktivierung, das Öffnen oder Schließen und sogar das Löschen. Neben der Bildschirmsteuerung verfügt CraxsRAT über die Möglichkeit, den Bildschirm zu sperren oder zu entsperren und den Bildschirm abzudunkeln, um böswillige Aktionen zu verschleiern. Die Malware erweitert ihre Fähigkeiten auf Dateiverwaltungsaufgaben wie das Öffnen, Verschieben, Kopieren, Herunterladen, Hochladen, Verschlüsseln und Entschlüsseln von Dateien.

CraxsRAT verfügt über die Fähigkeit, aufgerufene Websites zu überwachen und das Öffnen bestimmter Seiten zu erzwingen. Dieser RAT kann Infektionsketten initiieren, indem er entweder selbst Payloads herunterlädt und ausführt oder indem er Opfer durch gewaltsam geöffnete bösartige Websites dazu verleitet. Theoretisch könnte dieses Programm daher verwendet werden, um Geräte mit spezialisierteren Trojanern, Ransomware und anderen Formen von Malware zu implantieren.

CraxsRAT hat die Fähigkeit, die Kontakte des Telefons zu manipulieren, indem es neue Kontakte liest, löscht und hinzufügt. Darüber hinaus ist das Bedrohungsprogramm in der Lage, Anrufprotokolle (einschließlich eingehender, ausgehender und verpasster Anrufe) zu untersuchen, Telefongespräche aufzuzeichnen und sogar Anrufe einzuleiten. Ebenso kann der Trojaner auf SMS-Nachrichten (sowohl gesendete als auch empfangene Nachrichten sowie Entwürfe) zugreifen und diese versenden. Aufgrund dieser Funktionen im Zusammenhang mit Telefonanrufen und Textnachrichten kann CraxsRAT als Schadsoftware für Gebührenbetrug eingesetzt werden.

Der RAT kann auf Inhalte zugreifen, die in der Zwischenablage (d. h. im Puffer zum Kopieren und Einfügen) gespeichert sind. CraxsRAT zielt auch auf verschiedene Konten und deren Anmeldeinformationen ab. Zu den im Werbematerial aufgeführten Beispielen gehören nicht näher bezeichnete E-Mails, Facebook- und Telegram-Konten.

Es ist wichtig hervorzuheben, dass Malware-Entwickler ihre Software häufig verfeinern, und CraxsRAT ist da nicht anders. Folglich weisen diese Infektionen nicht nur aufgrund ihrer anpassbaren Natur eine Vielfalt auf, sondern weisen auch Variationen aufgrund der Einführung neu integrierter Funktionen auf.