Специалисты департамента киберразведки компании F.A.C.C.T. летом и осенью 2024 года зафиксировали многочисленные атаки на российских и белорусских владельцев Android-устройств с использованием вредоносного программного обеспечения — CraxsRAT. Злоумышленники распространяли ВПО в мессенджерах под видом легитимных обновлений мобильных приложений популярных сервисов и госучреждений: Госуслуги, Минздрав, Минцифры России, Центральный Банк РФ, а также операторов связи или популярных антивирусов. Судя по всему, троян активно используется как финансово мотивируемыми группами, так и теми, чей целью является кибершпионаж.
Начиная с лета 2024 года специалисты департамента киберразведки компании F.A.C.C.T. фиксируют многочисленные атаки на российских и белорусских владельцев Android-устройств с использованием вредоносного программного обеспечения — CraxsRAT.
CraxsRAT – многофункциональный Android Trojan, относящийся к классу RAT (Remote Access Trojan) — это вредоносное программное обеспечение, предоставляющее злоумышленникам возможность удалённого управления заражённым устройством. RAT может перехватывать сообщения и звонки, контролировать камеру и микрофон, отправлять уведомления, получать доступ к контактам, банковским данным, паролям, а также управлять устройством в реальном времени, создавая серьёзные угрозы безопасности и приватности владельца. CraxsRAT, разработанный автором под псевдонимом «EVLF DEV», изначально основан на утекших в сеть исходных кодах вредоносного программного обеспечения SpyNote.
В ходе исследования угрозы экспертами департамента киберразведки было обнаружено более 140 уникальных образцов CraxsRAT. Что в свою очередь, в совокупности с данными, полученными из системы F.A.C.C.T. Fraud Protection, позволило сделать предположение о методах распространения CraxsRAT, а также изучить особенности его маскировки и функциональных возможностей.
Так, возможно предположить, что основным вектором распространения ВПО является социальная инженерия, используя которую атакующие, злоупотребляя доверием пользователей, предлагают через мессенджеры, такие как WhatsApp, загрузить вредоносные APK-файлы, мимикрирующие под легитимные обновления приложений. Изображение 1. Ссылка на загрузку ВПО CraxsRAT, направленная жертве в мессенджере WhatsApp
Среди семплов, выявленных специалистами компании F.A.C.C.T. Threat Intelligence на территории России, значительная часть мимикрировала под приложения сервисов предоставления государственных и информационно-справочных услуг, антивирусное программное обеспечение, а также операторов связи. Среди фейков, например, были замечены названия таких ведомств и сервисов как Госуслуги, Минздрав, Минцифры России, Центральный Банк РФ, и так далее.Изображение 2. Семплы CraxsRAT, мимикрирующие под мобильные приложения
Кроме того, часть образцов ВПО распространялась с именами «СПИСОК.СВО2024», «Гос.Списки СВО», «списки военнопленных», «spiski», это, в свою очередь, при наличии особых условий, может указывать на возможное использования CraxsRAT в качестве инструмента кибершпионажа.
В Беларуси злоумышленники прибегают к аналогичной тактике, маскируя свои программы под приложения популярных операторов сотовой связи.
В результате изучения особенности мимикрии ВПО, можно предположить, что CraxsRat используется как финансово мотивируемыми группами, так и теми, чей целью является кибершпионаж.
Совместно с сотрудниками Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий (УБК) МВД России специалисты F.A.C.C.T. Threat Intelligence смогли исследовать, кроме образцов ВПО, еще и инфраструктуру злоумышленников. Все подробности — в новом блоге от экспертов F.A.C.C.T.
Источник новости: habr.com