About Teletype
Join
@freedom_apps
📱 Android RAT
December 27, 2024

CraxsRat: Новый виток угрозы для Android в 2024 году

Что такое CraxsRat?

CraxsRAT – многофункциональный Android Trojan разработанный автором под псевдонимом «EVLF DEV», изначально основанный на утекших в сеть исходных кодах вредоносного ПО SpyNote. CraxsRAT распространяется путем продажи билдеров данного трояна в Telegram. В связи с большой популярностью данного трояна в сети появилось большое количество взломанных билдеров которые при желании может найти и бесплатно загрузить любой злоумышленник. С недавнего времени мы замечаем большую активность этого трояна в России и Беларуси. Исходя из обнаруженного билдера, который, по нашим данным, использовали злоумышленники, версия CraxsRAT активного по России и Беларуси – CraxsRat v6.8.

Основные особенности CraxsRat

CraxsRat предоставляет злоумышленникам широкий спектр возможностей для управления устройством и шпионажа. Вот его ключевые функции:

Функциональные возможности CraxsRAT v6.7:

  • получение информации об устройстве;
  • закрепление в системе;
  • управление файловой системой телефона;
  • извлечение списка контактов и отправка им сообщений;
  • извлечение и отправка SMS-сообщений;
  • отслеживание и запись звонков;
  • отслеживание GPS;
  • перехват 2FA;
  • перехват нажатий и отображаемых событий;
  • записывание звонков и звука с микрофона;
  • управление камерой;
  • выполнение звонков на указанный номер;
  • создание скриншотов экрана;
  • удаленное управление экраном устройства;
  • выполнение сценариев кликов и вставки текста на устройстве;
  • отображение уведомлений-приманок;
  • перехватывание логинов, паролей и cookie-сайтов;
  • установка произвольных дополнительных приложений;
  • установка VPN и запрет выхода в сеть определенным приложениям;
  • отслеживание запуска и остановки определенных приложений;
  • противодействие запуска определенных приложений;
  • удаленная очистка устройства.

Почему CraxsRat стал популярным?

Закрепление в системе

Для закрепления в системе, CraxsRAT регистрирует BroadcastReceiver, который будет запускать необходимый компонент приложения после перезагрузки и разблокировки устройства.

Противодействие удалению

Приложение содержит функции для предотвращения собственного обнаружения и удаления.

Например, активности исследуемого файла объявлены в манифесте как excludeFromRecents=true. Это предотвращает появление приложения в списке недавно запущенных и пользователь не будет его видеть.

Также семпл блокирует возможность удаления себя из Device Admin Apps, AccessibilityServices и списка установленных приложений, прокликивая и закрывая эти окна принудительно используя возможности AccessibilityService.

Предотвращает завершение основной службы приложения. Это реализовано с помощью широковещательного сообщения приложения с именем RestartSensor. В случае завершения своей работы, служба отправит данное сообщение. В приложении реализован BroadcastReceiver который отслеживает появления данного сообщения и перезапускает необходимую для работы ВПО службу.

Противодействие выполнения в виртуальной среде

CraxsRAT содержит функцию проверки запуска на эмуляторе и может завершать работу при его обнаружении.

Модули CraxsRAT

В данном разделе мы детальнее опишем некоторые из возможностей CraxsRAT.

Микрофон

CraxsRAT имеет возможность записи звука с микрофона. Записи будут сохранены в систему по пути с шаблоном: /sdcard/Config/sys/apps/rc/{yyyy-MM-dd-HH-mm-ss}_0_REC_[0-9]{5}.wav.


Кейлогер

CraxsRAT имеет возможность перехватывать содержимое элементов и пользовательский ввод используя AccessibilityService. Записи будут сохранены в файл по следующему пути /sdcard/Config/sys/apps/log/log-{yyyy-MM-dd}.txt.

Трекер приложений

CraxsRAT имеет возможность отслеживать работу определенных приложений, список которых содержится внутри приложения. Данный список может модерироваться по команде от C2-сервера. Отслеживание приложений заключается в мониторинге времени запуска, завершения указанной программы, создании скриншотов приложения. Текстовый лог запуска-завершения работы указанного приложения сохраняется по следующему пути: /sdcard/Config/sys/apps/AR/{APP_NAME}/info.json. Скриншоты будут сохраняться в систему по следующему пути: /sdcard/Config/sys/apps/AR/{APP_NAME}/{yyyy-MM-dd}/IMG-{ORDER_NUM}.jpg. Также будет создан файл /sdcard/Config/sys/apps/AR/{APP_NAME}/{yyyy-MM-dd}/.nomedia, это используется для сокрытия медиа-файлов в текущей директории от отображения в различных приложениях-галлереях.

Автокликер

CraxsRAT имеет возможность отслеживать активность пользователя и сохранять движения и координаты нажатий в JSON-файл по следующему пути: /sdcard/Config/sys/apps/tch/{filename}.json. Также по команде от C2-сервера, CraxsRAT может воспроизвести нажатия любого из таких файлов, тем самым сымитировать действия пользователя.

URL-Монитор

CraxsRAT имеет возможность перехватывать данные авторизации с указанных сайтов. Данные будут сохранены в файлах — /sdcard/Config/sys/apps/Data/{BASE64_URL}.txt.

Сетевая активность

CraxsRAT взаимодействует с C2-сервером по незашифрованному socket-соединению. Данные передаются в упакованном виде с помощью алгоритма GZip. При взаимодействии, данные будут иметь формат [data_size, gzip_packed_data].

Методы распространения CraxsRat

CraxsRat распространяется через различные каналы, включая:

  1. Фальшивые приложения
    Злоумышленники маскируют CraxsRat под популярные приложения, такие как игры, утилиты или мессенджеры.
  2. Фишинг
    Рассылка вредоносных ссылок через электронную почту, SMS или мессенджеры.
  3. Социальная инженерия
    Использование убеждения для установки RAT на устройство.
  4. Сторонние магазины приложений
    CraxsRat часто распространяется через платформы, не связанные с Google Play.

Чем CraxsRat опасен?

CraxsRat представляет серьёзную угрозу из-за своей функциональности и высокой скрытности. Он позволяет злоумышленникам:

  • Шпионить за пользователями без их ведома.
  • Красть конфиденциальные данные, включая банковскую информацию.
  • Выполнять атаки на другие устройства или сети через заражённое устройство.

Как защититься от CraxsRat?

  1. Устанавливайте приложения только из официальных источников
    Используйте Google Play или проверенные магазины приложений.
  2. Обновляйте устройство и приложения
    Регулярные обновления устраняют уязвимости, которые могут использоваться RAT.
  3. Используйте антивирусные решения
    Надёжные антивирусы могут обнаружить и удалить вредоносное ПО.
  4. Не открывайте подозрительные ссылки
    Всегда проверяйте отправителей сообщений и ссылки, которые они присылают.
  5. Проверяйте разрешения приложений
    Если приложение требует доступ к функциям, которые не связаны с его задачами, это может быть подозрительным.

Заключение

CraxsRat — это современный инструмент для кибершпионажа, который угрожает пользователям Android в 2024 году. Его мощный функционал, поддержка новых версий ОС и улучшенная маскировка делают его серьёзной угрозой для безопасности. Чтобы защитить себя, необходимо соблюдать базовые правила кибербезопасности и быть внимательным к источникам загрузки приложений и ссылок. Помните, ваша цифровая безопасность — это ваша ответственность.

Скачать и приобрести CraxsRat 6.7 / 6.8 / 7.1 / 7.4 можете на нашем телеграм канале или GitHub.

☢ YouTube: www.youtube.com/@freedom_apps
☢ GitHub: https://github.com/freedom-apps
☢ Telegram: https://t.me/freedom_apps
☢ VK: https://vk.com/freedom_apps

@freedom_apps
December 27, 2024, 19:11
0 views
0 reactions
0 replies
0 reposts