マルチライセンス割引
Threat Database Mobile Malware CraxsRAT モバイル マルウェア

CraxsRAT モバイル マルウェア

Mobile Malware, Remote Administration ToolsMezoまで
翻訳内容:
日本語

サイバーセキュリティの専門家が、CypherRAT および CraxsRAT として知られるリモート アクセス トロイの木馬 (RAT) の開発責任者の正体を解明したと報告されています。

オンライン エイリアス「EVLF DEV」の下で活動し、過去 8 年間シリアに拠点を置いて活動していたこの脅威アクターは、これら 2 つの RAT をさまざまな脅威組織に配布することで 75,000 ドル以上を生み出したと考えられています。開示された情報は、この人物がサービスとしてのマルウェア (MaaS) オペレーターとして活動していることも示しています。

過去 3 年間、EVLF DEV は CraxsRAT を提供してきました。CraxsRAT は、最も有害で洗練された Android RAT の 1 つと考えられています。この RAT はサーフェス Web ストアで入手可能であり、これまでに約 100 の永久ライセンスが販売されています。

Android マルウェア CraxsRAT は高度にカスタマイズ可能

CraxsRAT は、複雑に難読化されたパッケージを生成し、悪意のある攻撃者に、WebView ページ インジェクションなど、意図した種類の攻撃に基づいてコンテンツを柔軟に調整できるようにします。脅威アクターは、デバイス侵入用のアプリの名前とアイコン、およびマルウェアが持つ特定の機能を自由に決定できます。

さらに、ビルダーには、検出を回避するために最小限のインストール権限を持つアプリケーションを作成するクイック インストール機能が組み込まれています。ただし、インストール後も、脅威アクターは追加のアクセス許可のアクティブ化を要求する能力を保持します。

このトロイの木馬は、Android ユーザー補助サービスを利用して、キーロギング、タッチスクリーン操作、自動オプション選択などのさまざまな機能を取得します。 CraxsRAT の幅広い機能には、デバイス画面の録画やライブストリーミングなどのタスクが含まれます。携帯電話のマイクと前面カメラと背面カメラの両方を使用して、録音を取得したり、リアルタイム監視を行ったりすることができます。このトロイの木馬は、地理位置情報を通じて、またはライブの動きを監視することによって、侵害されたデバイスの位置を追跡できます。その結果、被害者の正確な位置を特定する機能を備えています。

サイバー犯罪者は、感染したデバイスから CraxsRAT を削除できないようにする「スーパー MOD」オプションも利用できます。これは、アプリのアンインストールの試行が検出されるたびにクラッシュをトリガーすることで実現されます。

CraxsRAT が被害者のデバイスの機密データや個人データを盗む

CraxsRAT はアプリケーションを管理する機能も備えています。これには、インストールされているアプリケーションのリストの取得、アプリケーションの有効化または無効化、開くまたは閉じる、さらには削除などのタスクが含まれます。 CraxsRAT には、画面制御に加えて、画面をロックまたはロック解除する機能があり、画面を暗くして悪意のある動作を目立たなくすることができます。このマルウェアは、ファイルを開く、移動、コピー、ダウンロード、アップロード、暗号化、復号化などのファイル管理タスクまで機能を拡張します。

CraxsRAT は、アクセスされた Web サイトを監視し、特定のページを強制的に開く機能を備えています。この RAT は、ペイロード自体をダウンロードして実行することによって、または強制的に開かれた悪意のある Web サイトを通じて被害者をだまして実行することによって、感染チェーンを開始する可能性があります。その結果、理論上は、このプログラムを利用して、より特殊なトロイの木馬、ランサムウェア、その他の形式のマルウェアをデバイスに埋め込むことができる可能性があります。

CraxsRAT には、携帯電話の連絡先を読み取り、削除し、新しい連絡先を追加することで操作する機能があります。さらに、この脅迫プログラムは、通話記録 (着信、発信、不在着信を含む) の調査、電話での会話の録音、さらには通話の開始にも熟練しています。同様に、トロイの木馬は SMS メッセージ (送受信の両方、および下書き) にアクセスし、送信することができます。電話やテキスト メッセージに関連するこれらの機能により、CraxsRAT は料金詐欺マルウェアとして使用される可能性があります。

RAT は、クリップボード (つまり、コピー/ペースト バッファ) に保存されているコンテンツにアクセスできます。 CraxsRAT は、さまざまなアカウントとそのログイン資格情報もターゲットにします。宣伝資料に記載されている例には、不特定の電子メール、Facebook、および Telegram アカウントが含まれます。

マルウェア開発者はソフトウェアを改良することが多く、CraxsRAT も例外ではないことを強調することが重要です。したがって、これらの感染症は、カスタマイズ可能な性質により多様性を示すだけでなく、新たに組み込まれた機能の導入により変化も示します。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...