Вредоносное ПО позволяет контролировать устройства и собирать конфиденциальные данные.
С начала лета 2024 года эксперты фиксируют многочисленные атаки на пользователей Android-устройств в России и Беларуси с использованием вредоносного ПО — CraxsRAT.
CraxsRAT — это многофункциональный Android- троян, относящийся к классу Remote Access Trojan (RAT). Он позволяет злоумышленникам удалённо управлять заражённым устройством, перехватывать сообщения и звонки, контролировать камеру и микрофон, отправлять уведомления, получать доступ к контактам, банковским данным, паролям и в реальном времени управлять устройством, создавая серьёзные риски для безопасности и конфиденциальности владельца. CraxsRAT, разработанный автором под псевдонимом «EVLF DEV», основан на утекших исходных кодах другого вредоносного ПО — SpyNote.
В ходе исследования угрозы экспертами было выявлено более 140 уникальных образцов CraxsRAT. Предполагается, что основным способом распространения ВПО является социальная инженерия, когда злоумышленники предлагают пользователям через мессенджеры скачать вредоносные APK-файлы, замаскированные под легитимные обновления приложений.
Ссылка на загрузку ВПО CraxsRAT, направленная жертве в мессенджере WhatsApp
В России значительная часть образцов CraxsRAT маскируется под приложения государственных и справочных сервисов, антивирусные программы, а также операторов связи. Среди поддельных приложений встречаются, например, имитации таких сервисов, как Госуслуги, Минздрав, Минцифры России, Центральный банк РФ и других.
Семплы CraxsRAT, мимикрирующие под мобильные приложения
Кроме того, некоторые образцы CraxsRAT распространяются под названиями вроде «СПИСОК.СВО2024», «Гос.Списки СВО», «списки военнопленных», «spiski». Это может свидетельствовать о возможном использовании данного ПО для кибершпионажа.
В Беларуси злоумышленники используют аналогичную тактику, маскируя программы под приложения популярных операторов связи. На основе анализа способов маскировки и распространения CraxsRAT эксперты предполагают, что он используется как финансово мотивированными группами, так и организациями, занимающимися кибершпионажем.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале