Специалисты департамента киберразведки компании F.A.C.C.T. фиксируют атаки с использованием трояна CraxsRAT на российских и белорусских владельцев Android-устройств под видом обновлений фейковых приложений Госуслуг, Минздрава, Минцифры России, Центробанка, а также «списков» военнопленных или участников СВО.
Совместно с сотрудниками Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий (УБК) МВД России специалисты F.A.C.C.T. Threat Intelligence смогли исследовать, кроме образцов ВПО, еще и инфраструктуру злоумышленников.
Подробнее о результатах исследования читайте в нашей статье.
Описание CraxsRAT
CraxsRAT – многофункциональный Android Trojan разработанный автором под псевдонимом «EVLF DEV», изначально основанный на утекших в сеть исходных кодах вредоносного ПО SpyNote. CraxsRAT распространяется путем продажи билдеров данного трояна в Telegram.
В связи с большой популярностью данного трояна в сети появилось большое количество взломанных билдеров которые при желании может найти и бесплатно загрузить любой злоумышленник. С недавнего времени мы замечаем большую активность этого трояна в России и Беларуси. Исходя из обнаруженного билдера, который, по нашим данным, использовали злоумышленники, версия CraxsRAT активного по России и Беларуси – CraxsRat v6.7. Специалистами департамента киберразведки компании F.A.C.C.T. были изучены обнаруженные образцы и билдер-панель CraxsRAT v6.7.
К основным функциональным возможностям CraxsRAT v6.7 можно отнести получения информации об устройстве, закрепление в системе, управление файловой системой телефона, извлечение списка контактов и отправка им сообщений, извлечение и отправка SMS-сообщений, отслеживание и запись звонков, отслеживание GPS, перехват 2FA, записывание звонков и звука с микрофона и многое другое.
Ход заражения
В ходе исследования было обнаружено более 140 уникальных образцов CraxsRAT. Это в совокупности с данными, полученными из системы F.A.C.C.T. Fraud Protection, позволило сделать предположение о методах распространения CraxsRAT, а также изучить особенности его маскировки и функциональных возможностей. Также возможно предположить, что основным вектором распространения ВПО является социальная инженерия, используя которую атакующие, злоупотребляя доверием пользователей, предлагают через мессенджеры, такие как WhatsApp, загрузить вредоносные APK-файлы, мимикрирующие под легитимные обновления приложений.
Ссылка на загрузку ВПО CraxsRAT, направленная жертве в мессенджере WhatsApp:
Среди семплов, выявленных специалистами компании F.A.C.C.T. Threat Intelligence на территории России, значительная часть мимикрировала под приложения сервисов предоставления государственных и информационно-справочных услуг, антивирусное программное обеспечение, а также операторов связи. Среди фейков, например, были замечены названия таких ведомств и сервисов как Госуслуги, Минздрав, Минцифры России, Центральный Банк РФ, и т.п.
Кроме того, часть образцов ВПО распространялась с именами «СПИСОК.СВО2024», «Гос.Списки СВО», «списки военнопленных», «spiski», это, в свою очередь, при наличии особых условий, может указывать на возможное использования CraxsRAT в качестве инструмента кибершпионажа.
В Беларуси злоумышленники прибегают к аналогичной тактике, маскируя свои программы под приложения популярных операторов сотовой связи.
В результате изучения особенности мимикрии ВПО можно предположить, что CraxsRat используется как финансово мотивируемыми группами, так и теми, чей целью является кибершпионаж.
Пример семпла CraxsRAT, мимикрирующий под мобильное приложение:
Подробнее с техническими аспектами работы CraxsRAT вы можете ознакомиться в нашем блоге.
Для того, чтобы быть в курсе актуальных новостей в сфере информационной безопасности, подписывайтесь на канал «Кибербез по фактам», а также на наш остросюжетный телеграм-канал.