Logiciel malveillant mobile CraxsRAT

Des experts en cybersécurité auraient découvert la véritable identité de la personne responsable du développement des chevaux de Troie d'accès à distance (RAT) connus sous le nom de CypherRAT et CraxsRAT.

Opérant sous le pseudonyme en ligne « EVLF DEV » et basé en Syrie depuis huit ans, cet acteur menaçant aurait généré plus de 75 000 $ en distribuant ces deux RAT à diverses entités menaçantes. Les informations divulguées indiquent également que cet individu sert d'opérateur de Malware-as-a-Service (MaaS).

Au cours des trois dernières années, EVLF DEV propose CraxsRAT, considéré comme l'un des RAT Android les plus dangereux et les plus sophistiqués. Ce RAT est disponible sur une boutique Web de surface, avec environ 100 licences à vie vendues jusqu'à présent.

Le logiciel malveillant Android CraxsRAT est hautement personnalisable

CraxsRAT génère des packages complexes et obscurcis, offrant aux acteurs malveillants la flexibilité d'adapter leur contenu en fonction du type d'attaque prévu, y compris les injections de pages WebView. Les auteurs de la menace ont la liberté de déterminer le nom et l'icône de l'application pour l'infiltration des appareils, ainsi que les fonctionnalités spécifiques que possédera le logiciel malveillant.

De plus, le constructeur intègre une fonctionnalité d'installation rapide qui crée des applications avec des autorisations d'installation minimales pour échapper à la détection. Cependant, après l'installation, l'acteur malveillant conserve la possibilité de demander l'activation d'autorisations supplémentaires.

Ce cheval de Troie exploite les services d'accessibilité Android pour obtenir diverses fonctionnalités, notamment l'enregistrement au clavier, la manipulation de l'écran tactile et la sélection automatique des options. La vaste gamme de capacités de CraxsRAT englobe des tâches telles que l'enregistrement et la diffusion en direct de l'écran de l'appareil. Il est capable d'acquérir des enregistrements ou d'effectuer une surveillance en temps réel à l'aide du microphone du téléphone et des caméras avant et arrière. Le cheval de Troie peut suivre l'emplacement de l'appareil piraté grâce à la géolocalisation ou en surveillant les mouvements en direct. En conséquence, il a la capacité de localiser précisément l’emplacement de la victime.

Une option « super mod » est également disponible pour les cybercriminels pour rendre le CraxsRAT résistant à la suppression des appareils infectés. Ceci est réalisé en déclenchant un crash chaque fois qu'une tentative de désinstallation de l'application est détectée.

CraxsRAT vole les appareils des victimes de données sensibles et privées

CraxsRAT est également équipé pour gérer les applications. Cela inclut des tâches telles que l'obtention de la liste des applications installées, leur activation ou leur désactivation, leur ouverture ou leur fermeture et même leur suppression. Outre le contrôle de l'écran, CraxsRAT a la capacité de verrouiller ou de déverrouiller l'écran, et il peut assombrir l'écran pour masquer ses actions malveillantes. Le malware étend ses capacités aux tâches de gestion de fichiers, telles que l'ouverture, le déplacement, la copie, le téléchargement, le cryptage et le déchiffrement de fichiers.

CraxsRAT possède la capacité de surveiller les sites Web consultés et d'imposer l'ouverture de pages spécifiques. Ce RAT peut initier des chaînes d'infection soit en téléchargeant et en exécutant lui-même des charges utiles, soit en incitant les victimes à le faire via des sites Web malveillants ouverts de force. En conséquence, en théorie, ce programme pourrait être utilisé pour implanter sur des appareils des chevaux de Troie, des ransomwares et d’autres formes de logiciels malveillants plus spécialisés.

CraxsRAT a la capacité de manipuler les contacts du téléphone en lisant, en supprimant et en en ajoutant de nouveaux. De plus, le programme menaçant maîtrise l’examen des journaux d’appels (y compris les appels entrants, sortants et manqués), l’enregistrement des conversations téléphoniques et même le lancement d’appels. De la même manière, le cheval de Troie peut accéder aux messages SMS (envoyés et reçus, ainsi qu'aux brouillons) et les envoyer. Ces fonctionnalités liées aux appels téléphoniques et aux messages texte positionnent CraxsRAT comme logiciel malveillant de fraude aux péages.

Le RAT est capable d'accéder au contenu stocké dans le presse-papiers (c'est-à-dire le tampon copier-coller). CraxsRAT cible également divers comptes et leurs identifiants de connexion. Parmi les exemples répertoriés dans son matériel promotionnel figurent des e-mails non spécifiés, des comptes Facebook et Telegram.

Il est important de souligner que les développeurs de logiciels malveillants affinent souvent leurs logiciels, et CraxsRAT n'est pas différent. Par conséquent, ces infections présentent non seulement une diversité en raison de leur nature personnalisable, mais présentent également des variations dues à l’introduction de fonctionnalités nouvellement incorporées.