Un acteur menaçant syrien nommé EVLF a été présenté comme le créateur des familles de logiciels malveillants CypherRAT et CraxsRAT.
« Ces RAT sont conçus pour permettre à un attaquant d’effectuer à distance des actions en temps réel et de contrôler la caméra, l’emplacement et le microphone de l’appareil victime », a déclaré la société de cybersécurité Cyfirma. dit dans un rapport publié la semaine dernière.
CypherRAT et CraxsRAT seraient proposés à d’autres cybercriminels dans le cadre d’un programme de malware en tant que service (MaaS). On estime que jusqu’à 100 auteurs de menaces uniques ont acheté les deux outils avec une licence à vie au cours des trois dernières années.
EVLF exploiterait une boutique en ligne pour faire la publicité de ses produits depuis au moins septembre 2022.
CraxsRAT est présenté comme un cheval de Troie Android qui permet à un acteur malveillant de contrôler à distance un appareil infecté à partir d’un ordinateur Windows, le développeur publiant constamment de nouvelles mises à jour en fonction des commentaires des clients.
Le package malveillant est généré à l’aide d’un générateur, qui propose des options pour personnaliser et masquer la charge utile, choisir une icône, le nom de l’application et les fonctionnalités et autorisations qui doivent être activées une fois installées sur le smartphone.
« CraxsRAT est l’un des RAT les plus dangereux du paysage actuel des menaces Android, avec des fonctionnalités percutantes telles que le contournement de la protection de Google Play, l’affichage en direct de l’écran, ainsi qu’un shell pour l’exécution des commandes », a expliqué Cyfirma.
« La fonction » Super Mod « rend l’application encore plus meurtrière, ce qui rend difficile la désinstallation de l’application par les victimes (chaque fois que la victime essaie de désinstaller, la page se bloque). »
Le logiciel malveillant Android demande également aux victimes de lui accorder des autorisations aux services d’accessibilité d’Android, ce qui lui permet de récolter une multitude d’informations qui seraient précieuses pour les cybercriminels, notamment les journaux d’appels, les contacts, le stockage externe, la localisation et les messages SMS.
EVLF a été observé exploitant une chaîne Telegram nommée « EvLF Devz » qui a été créée le 17 février 2022. Elle compte 10 678 abonnés au moment de la rédaction.
UN recherche pour les surfaces CraxsRAT nombreux versions crackées du malware hébergé sur GitHub, bien qu’il semble que Microsoft ait démonté certains d’entre eux ces derniers jours. Le compte GitHub d’EVLF, cependant, reste actif sur le service d’hébergement de code.
Le 23 août 2023, EVLF a publié un message sur la chaîne disant qu’ils raccrochaient les bottes sur le projet, probablement en réponse à la divulgation publique de leurs activités.
« Malheureusement, c’est la fin, en raison des circonstances de la vie, je vais arrêter de développer et de publier », a déclaré EVLF dans son message. « Pour mes clients, ne vous inquiétez pas, je ne vous laisserai pas partir, je publierai quelques correctifs pour vous avant de partir. »