Новости Android под атакой CraxsRAT: троян замаскировался под госсервисы

NewsMaker

I'm just a script
Премиум
13,646
20
8 Ноя 2022
Вредоносное ПО позволяет контролировать устройства и собирать конфиденциальные данные.


org7w9xehp5k5lg3t06m61fjkv7ifmi0.jpg


С начала лета 2024 года Для просмотра ссылки Войди или Зарегистрируйся многочисленные атаки на пользователей Android -устройств в России и Беларуси с использованием вредоносного ПО — CraxsRAT.

CraxsRAT — это многофункциональный Android- троян , относящийся к классу Remote Access Trojan (RAT). Он позволяет злоумышленникам удалённо управлять заражённым устройством, перехватывать сообщения и звонки, контролировать камеру и микрофон, отправлять уведомления, получать доступ к контактам, банковским данным, паролям и в реальном времени управлять устройством, создавая серьёзные риски для безопасности и конфиденциальности владельца. CraxsRAT, разработанный автором под псевдонимом «EVLF DEV», основан на утекших исходных кодах другого вредоносного ПО — SpyNote.

В ходе исследования угрозы экспертами было выявлено более 140 уникальных образцов CraxsRAT. Предполагается, что основным способом распространения ВПО является социальная инженерия, когда злоумышленники предлагают пользователям через мессенджеры скачать вредоносные APK-файлы, замаскированные под легитимные обновления приложений.


8n3vz1uit3xtj0mkfghg9jqis7kn61kd.png


<span style="font-size: 8pt;"> </span><span style="font-size: 8pt;">Ссылка на загрузку ВПО CraxsRAT, направленная жертве в мессенджере WhatsApp</span><span style="font-size: 8pt;"> </span>

В России значительная часть образцов CraxsRAT маскируется под приложения государственных и справочных сервисов, антивирусные программы, а также операторов связи. Среди поддельных приложений встречаются, например, имитации таких сервисов, как Госуслуги, Минздрав, Минцифры России, Центральный банк РФ и других.


i9c4ysppd17k77l624vrd1x2ogonyakw.png


<span style="font-size: 8pt;"> Семплы CraxsRAT, мимикрирующие под мобильные приложения </span>

Кроме того, некоторые образцы CraxsRAT распространяются под названиями вроде «СПИСОК.СВО2024», «Гос.Списки СВО», «списки военнопленных», «spiski». Это может свидетельствовать о возможном использовании данного ПО для кибершпионажа.

В Беларуси злоумышленники используют аналогичную тактику, маскируя программы под приложения популярных операторов связи. На основе анализа способов маскировки и распространения CraxsRAT эксперты предполагают, что он используется как финансово мотивированными группами, так и организациями, занимающимися кибершпионажем.

4o
 
Источник новости
www.securitylab.ru

Похожие темы