Suriyeli bir tehdit aktörünün adı EVLF Kötü amaçlı yazılım aileleri CypherRAT ve CraxsRAT’ın yaratıcısı olduğu ortaya çıktı.
Siber güvenlik firması Cyfirma, “Bu RAT’lar, bir saldırganın uzaktan gerçek zamanlı eylemler gerçekleştirmesine ve kurbanın cihazının kamerasını, konumunu ve mikrofonunu kontrol etmesine olanak sağlayacak şekilde tasarlandı.” söz konusu geçen hafta yayınlanan bir raporda.
CypherRAT ve CraxsRAT’ın, hizmet olarak kötü amaçlı yazılım (MaaS) planının bir parçası olarak diğer siber suçlulara sunulduğu söyleniyor. Son üç yılda 100 kadar benzersiz tehdit aktörünün bu ikiz araçları ömür boyu lisansla satın aldığı tahmin ediliyor.
EVLF’nin en az Eylül 2022’den bu yana warezlerinin reklamını yapmak için bir web mağazası işlettiği söyleniyor.
CraxsRAT, bir tehdit aktörünün virüs bulaşmış bir cihazı bir Windows bilgisayarından uzaktan kontrol etmesine olanak tanıyan bir Android truva atı olarak faturalandırılıyor ve geliştirici, müşterilerden gelen geri bildirimlere dayanarak sürekli olarak yeni güncellemeler yayınlıyor.
Kötü amaçlı paket, yükü özelleştirme ve gizleme, bir simge seçme, uygulama adı ve akıllı telefona yüklendikten sonra etkinleştirilmesi gereken özellikler ve izinleri seçme seçenekleriyle birlikte gelen bir oluşturucu kullanılarak oluşturuluyor.
Cyfirma, “CraxsRAT, Google Play koruma atlaması, canlı ekran görünümü ve komut yürütmeye yönelik bir kabuk gibi etkili özelliklere sahip, mevcut Android tehdit ortamındaki en tehlikeli RAT’lardan biridir” dedi.
“‘Süper Mod’ özelliği uygulamayı daha da ölümcül hale getirerek kurbanların uygulamayı kaldırmasını zorlaştırıyor (kurban uygulamayı kaldırmayı denediğinde sayfa çöküyor).”
Android kötü amaçlı yazılımı ayrıca kurbanlardan Android’in erişilebilirlik hizmetlerine izin vermelerini talep ederek, arama kayıtları, kişiler, harici depolama, konum ve SMS mesajları dahil olmak üzere siber suçlular için değerli olabilecek çok sayıda bilgiyi toplamasına olanak tanıyor.
EVLF’nin, 17 Şubat 2022’de oluşturulan “EvLF Devz” adlı bir Telegram kanalını işlettiği gözlemlendi. Bu yazının yazıldığı an itibariyle 10.678 abonesi var.
A aramak CraxsRAT yüzeyleri için çeşitli kırık versiyonlar GitHub’da barındırılan kötü amaçlı yazılımların sayısı her ne kadar Microsoft’un aşağı çekilmiş bunlardan bazıları geçtiğimiz birkaç gün içinde gerçekleşti. Ancak EVLF’nin GitHub hesabı aktif kalır kod barındırma hizmetinde.
23 Ağustos 2023’te EVLF, muhtemelen faaliyetlerinin kamuya açıklanmasına yanıt olarak, kanalda projeye ilişkin botları astıklarını belirten bir mesaj yayınladı.
EVLF gönderide “maalesef bu son, yaşam koşulları nedeniyle geliştirmeyi ve paylaşmayı bırakacağım” dedi. “müşterilerim için endişelenmeyin, gitmenize izin vermeyeceğim, gitmeden önce sizin için birkaç yama yayınlayacağım.”