Malware móvil CraxsRAT

Según se informa, los expertos en ciberseguridad han descubierto la verdadera identidad del individuo responsable de desarrollar los troyanos de acceso remoto (RAT) conocidos como CypherRAT y CraxsRAT.

Operando bajo el alias en línea 'EVLF DEV' y con base en Siria durante los últimos ocho años, se cree que este actor de amenazas ha generado más de 75.000 dólares mediante la distribución de estos dos RAT a varias entidades amenazantes. La información divulgada también indica que este individuo actúa como operador de malware como servicio (MaaS).

Durante los últimos tres años, EVLF DEV ha estado ofreciendo CraxsRAT, considerado uno de los RAT de Android más dañinos y sofisticados. Esta RAT ha estado disponible en una tienda web superficial y hasta el momento se han vendido aproximadamente 100 licencias de por vida.

El malware CraxsRAT para Android es altamente personalizable

CraxsRAT genera paquetes intrincadamente ofuscados, lo que otorga a los actores maliciosos la flexibilidad de adaptar su contenido según el tipo de ataque previsto, incluidas las inyecciones de páginas WebView. Los actores de amenazas tienen la libertad de determinar el nombre y el icono de la aplicación para la infiltración en el dispositivo, así como las funcionalidades específicas que poseerá el malware.

Además, el creador incorpora una función de instalación rápida que crea aplicaciones con permisos de instalación mínimos para evadir la detección. Sin embargo, después de la instalación, el actor de la amenaza conserva la capacidad de solicitar la activación de permisos adicionales.

Este troyano aprovecha los servicios de accesibilidad de Android para obtener una variedad de funciones, incluido el registro de teclas, la manipulación de la pantalla táctil y la selección automática de opciones. La amplia gama de capacidades de CraxsRAT abarca tareas como grabar y transmitir en vivo la pantalla del dispositivo. Puede adquirir grabaciones o realizar vigilancia en tiempo real utilizando el micrófono del teléfono y las cámaras frontal y trasera. El troyano puede rastrear la ubicación del dispositivo atacado mediante geolocalización o monitoreando movimientos en vivo. Como resultado, tiene la capacidad de señalar la ubicación exacta de la víctima.

Los ciberdelincuentes también disponen de una opción de 'supermod' para hacer que CraxsRAT sea resistente a la eliminación de dispositivos infectados. Esto se logra provocando un bloqueo cada vez que se detecta un intento de desinstalar la aplicación.

CraxsRAT roba datos confidenciales y privados de los dispositivos de las víctimas

CraxsRAT también está equipado para gestionar aplicaciones. Esto incluye tareas como obtener la lista de aplicaciones instaladas, habilitarlas o deshabilitarlas, abrirlas o cerrarlas e incluso eliminarlas. Además del control de la pantalla, CraxsRAT tiene la capacidad de bloquear o desbloquear la pantalla y puede oscurecerla para ocultar sus acciones maliciosas. El malware amplía sus capacidades a tareas de gestión de archivos, como abrir, mover, copiar, descargar, cargar, cifrar y descifrar archivos.

CraxsRAT posee la capacidad de monitorear los sitios web a los que se accede y exigir la apertura de páginas específicas. Esta RAT puede iniciar cadenas de infección, ya sea descargando y ejecutando cargas útiles o engañando a las víctimas para que lo hagan a través de sitios web maliciosos abiertos por la fuerza. Como resultado, en teoría, este programa podría utilizarse para implantar en dispositivos troyanos, ransomware y otras formas de malware más especializados.

CraxsRAT tiene la capacidad de manipular los contactos del teléfono leyendo, eliminando y añadiendo nuevos. Además, el programa amenazante es competente para examinar los registros de llamadas (incluidas las llamadas entrantes, salientes y perdidas), grabar conversaciones telefónicas e incluso iniciar llamadas. Del mismo modo, el troyano puede acceder a mensajes SMS (tanto enviados como recibidos, así como borradores) y enviarlos. Estas características relacionadas con llamadas telefónicas y mensajes de texto posicionan a CraxsRAT para ser utilizado como malware de fraude de peajes.

La RAT puede acceder al contenido almacenado en el portapapeles (es decir, el búfer de copiar y pegar). CraxsRAT también apunta a varias cuentas y sus credenciales de inicio de sesión. Entre los ejemplos enumerados en su material promocional se encuentran correos electrónicos no especificados, cuentas de Facebook y Telegram.

Es importante destacar que los desarrolladores de malware suelen perfeccionar su software y CraxsRAT no es diferente. En consecuencia, estas infecciones no sólo exhiben diversidad debido a su naturaleza personalizable sino que también muestran variaciones debido a la introducción de características recientemente incorporadas.