Сирийски участник в заплахи на име EVLF е разкрит като създател на семействата зловреден софтуер CypherRAT и CraxsRAT.

„Тези RAT са проектирани така, че да позволяват на нападателя да извършва дистанционно действия в реално време и да контролира камерата, местоположението и микрофона на устройството на жертвата“, заяви фирмата за киберсигурност Cyfirma в доклад, публикуван миналата седмица.

Твърди се, че CypherRAT и CraxsRAT се предлагат на други киберпрестъпници като част от схема за зловреден софтуер като услуга (MaaS). Смята се, че през последните три години до 100 уникални участници в заплахи са закупили двойните инструменти с доживотен лиценз.

Твърди се, че EVLF управлява уеб магазин, за да рекламира своя warez поне от септември 2022 г.

CraxsRAT е обявен за троянски кон за Android, който дава възможност на извършителя на заплахата да управляват дистанционно заразено устройство от компютър с Windows, като разработчикът постоянно пуска нови актуализации въз основа на обратна връзка от клиентите.

Зловредният пакет се генерира с помощта на конструктор, който разполага с опции за персонализиране и замаскиране на полезния товар, избор на икона, име на приложението, както и функции и разрешения, които трябва да бъдат активирани, след като бъде инсталиран на смартфона.

„CraxsRAT е един от най-опасните RAT в настоящия пейзаж на заплахите за Android, с въздействащи функции като заобикаляне на защитата на Google Play, преглед на екрана в реално време, както и обвивка за изпълнение на команди“, обяснява Cyfirma.

„Функцията „Super Mod“ прави приложението още по-смъртоносно, като затруднява деинсталирането на приложението (всеки път, когато жертвата се опита да деинсталира, страницата се срива).“

Зловредният софтуер за Android също така изисква от жертвите да му предоставят разрешения за достъп до услугите за достъпност на Android, което му позволява да събира богата информация, която би била ценна за киберпрестъпниците, включително дневници на обажданията, контакти, външно хранилище, местоположение и SMS съобщения.

EVLF е забелязан да управлява канал в Telegram с име „EvLF Devz“, който е създаден на 17 февруари 2022 г. Към момента на писане на статията той има 10 678 абонати.

Търсенето на CraxsRAT извежда на повърхността многобройни кракнати версии на зловредния софтуер, хоствани в GitHub, въпреки че изглежда, че Microsoft е свалила някои от тях през последните няколко дни. Акаунтът в GitHub на EVLF обаче остава активен в услугата за хостинг на кодове.

На 23 август 2023 г. EVLF публикува съобщение в канала, в което казва, че окачва обувките на проекта, вероятно в отговор на публичното разкриване на дейността им.

„за съжаление това е краят , поради житейски обстоятелства ще спра да разработвам и публикувам“, се казва в съобщението на EVLF. „за моите клиенти не се притеснявайте , няма да ви оставя и да си тръгнете , ще пусна няколко пача за вас, преди да си тръгна.“