Un actor de amenazas sirio llamado EVLF ha sido descubierto como el creador de las familias de malware CypherRAT y CraxsRAT.
«Estas RAT están diseñadas para permitir que un atacante realice acciones remotas en tiempo real y controle la cámara, la ubicación y el micrófono del dispositivo de la víctima», dijo la firma de ciberseguridad Cyfirma. dicho en un informe publicado la semana pasada.
Se dice que CypherRAT y CraxsRAT se ofrecen a otros ciberdelincuentes como parte de un esquema de malware como servicio (MaaS). Se estima que hasta 100 actores de amenazas únicos han comprado las herramientas gemelas con una licencia de por vida durante los últimos tres años.
Se dice que EVLF opera una tienda web para anunciar su warez desde al menos septiembre de 2022.
CraxsRAT se anuncia como un troyano de Android que permite a un actor de amenazas controlar remotamente un dispositivo infectado desde una computadora con Windows, y el desarrollador lanza constantemente nuevas actualizaciones basadas en los comentarios de los clientes.
El paquete malicioso se genera mediante un constructor, que viene con opciones para personalizar y ofuscar la carga útil, elegir un ícono, el nombre de la aplicación y las funciones y permisos que deben activarse una vez instalada en el teléfono inteligente.
«CraxsRAT es una de las RAT más peligrosas en el panorama actual de amenazas de Android, con características impactantes como la omisión de protección de Google Play, vista de pantalla en vivo, así como un shell para la ejecución de comandos», explicó Cyfirma.
«La función ‘Super Mod’ hace que la aplicación sea aún más letal, lo que dificulta que las víctimas la desinstalen (cada vez que la víctima intenta desinstalarla, la página se bloquea)».
El malware de Android también solicita a las víctimas que le otorguen permisos para los servicios de accesibilidad de Android, lo que le permite recopilar una gran cantidad de información que sería valiosa para los ciberdelincuentes, incluidos registros de llamadas, contactos, almacenamiento externo, ubicación y mensajes SMS.
Se ha observado a EVLF operando un canal de Telegram llamado «EvLF Devz» que se creó el 17 de febrero de 2022. Tiene 10,678 suscriptores al momento de escribir este artículo.
A buscar para superficies CraxsRAT numeroso versiones crackeadas del malware alojado en GitHub, aunque parece que Microsoft ha derribados algunos de ellos en los últimos días. La cuenta GitHub de EVLF, sin embargo, permanece activo en el servicio de alojamiento de códigos.
El 23 de agosto de 2023, EVLF publicó un mensaje en el canal diciendo que estaban colgando las botas del proyecto, probablemente en respuesta a la divulgación pública de sus actividades.
«Desafortunadamente, este es el final, debido a circunstancias de la vida, dejaré de desarrollar y publicar», dijo EVLF en la publicación. «Para mis clientes, no se preocupen, no los dejaré ir, les lanzaré un par de parches antes de irme».