Android под атакой CraxsRAT: троян замаскировался под госсервисы

31 Oct 2024, 06:59 · SecurityLab.ru · Подписаться

Вредоносное ПО позволяет контролировать устройства и собирать конфиденциальные данные.

С начала лета 2024 года эксперты фиксируют многочисленные атаки на пользователей Android-устройств в России и Беларуси с использованием вредоносного ПО — CraxsRAT.

CraxsRAT — это многофункциональный Android- троян, относящийся к классу Remote Access Trojan (RAT). Он позволяет злоумышленникам удалённо управлять заражённым устройством, перехватывать сообщения и звонки, контролировать камеру и микрофон, отправлять уведомления, получать доступ к контактам, банковским данным, паролям и в реальном времени управлять устройством, создавая серьёзные риски для безопасности и конфиденциальности владельца. CraxsRAT, разработанный автором под псевдонимом «EVLF DEV», основан на утекших исходных кодах другого вредоносного ПО — SpyNote.

В ходе исследования угрозы экспертами было выявлено более 140 уникальных образцов CraxsRAT. Предполагается, что основным способом распространения ВПО является социальная инженерия, когда злоумышленники предлагают пользователям через мессенджеры скачать вредоносные APK-файлы, замаскированные под легитимные обновления приложений.

Ссылка на загрузку ВПО CraxsRAT, направленная жертве в мессенджере WhatsApp

В России значительная часть образцов CraxsRAT маскируется под приложения государственных и справочных сервисов, антивирусные программы, а также операторов связи. Среди поддельных приложений встречаются, например, имитации таких сервисов, как Госуслуги, Минздрав, Минцифры России, Центральный банк РФ и других.

Семплы CraxsRAT, мимикрирующие под мобильные приложения

Кроме того, некоторые образцы CraxsRAT распространяются под названиями вроде «СПИСОК.СВО2024», «Гос.Списки СВО», «списки военнопленных», «spiski». Это может свидетельствовать о возможном использовании данного ПО для кибершпионажа.

В Беларуси злоумышленники используют аналогичную тактику, маскируя программы под приложения популярных операторов связи. На основе анализа способов маскировки и распространения CraxsRAT эксперты предполагают, что он используется как финансово мотивированными группами, так и организациями, занимающимися кибершпионажем.