Android-троян CraxsRAT ворует данные пользователей

За лето и осень 2024 года специалистами департамента киберразведки компании F.A.C.C.T. зафиксировано многочисленное количество атак на российских и белорусских владельцев Android-устройств при помощи вредоносного ПО CraxsRAT. Его распространяли под видом легитимных обновлений мобильных приложений популярных сервисов и госучреждений.

CraxsRAT представляет из себя многофункциональный троян на Android, относящийся к классу RAT (Remote Access Trojan). С его помощью злоумышленники могут удаленно управлять зараженным устройством, перехватывать сообщения и звонки, контролировать камеру и микрофон, отправлять уведомления, получать доступ к контактам, банковским данным, паролям, а также управлять устройством в реальном времени, создавая серьезные угрозы безопасности и приватности владельца.

Экспертам удалось обнаружить более 140 уникальных образцов CraxsRAT, благодаря чему они смогли изучить особенности его маскировки и функциональных возможностей. Отмечается, что основным вектором распространения ВПО является социальная инженерия, с помощью которой они предлагают доверчивым пользователям загрузить вредоносные APK-файлы под видом обновлений на устройство.

Чаще всего в России CraxsRAT маскируют под государственные и информационно-справочные услуги, антивирусное программное обеспечение, а также операторов связи. Например, были замечены названия таких ведомств и сервисов как «Госуслуги», Минздрав, Минцифры России, Центральный Банк РФ и так далее. Кроме этого, можно встретить и «СПИСОК.СВО2024», «Гос.Списки СВО», «списки военнопленных», «spiski», которые используются в качестве инструмента кибершпионажа.

В Беларуси же мошенники маскируют CraxsRAT под приложения популярных операторов сотовой связи.

Ранее стало известно, что хакеры научились подделывать онлайн-тесты, которые используются для отличия человека от бота. Таким образом злоумышленники атакуют пользователей ПК.

Также мошенники распространяют через букмекерские сайты или ресурсы с контентом для взрослых и аниме сообщения, которые якобы сообщают об ошибке в браузере, стилизованные под Google Chrome.