Крысиный король: как Android-троян CraxsRAT ворует данные пользователей | Блог F.A.C.C.T.

Начиная с лета 2024 года специалисты департамента киберразведки компании F.A.C.C.T.  фиксируют многочисленные атаки на российских и белорусских владельцев Android-устройств с использованием вредоносного программного обеспечения — CraxsRAT.

Совместно с сотрудниками Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий (УБК) МВД России специалисты F.A.C.C.T. Threat Intelligence смогли исследовать, кроме образцов ВПО, еще и инфраструктуру злоумышленников.

Выявленные особенности позволили классифицировать данную угрозу как CraxsRAT – многофункциональный Android Trojan, относящийся к классу RAT, разработанный автором под псевдонимом «EVLF DEV», изначально основанный на утекших в сеть исходных кодах вредоносного программного обеспечения SpyNote.

RAT (Remote Access Trojan) — это вредоносное программное обеспечение, предоставляющее злоумышленникам возможность удалённого управления заражённым устройством. В случае мобильных устройств, такие трояны проникают на смартфон или планшет под видом легитимных приложений, обновлений или с помощью техник  социальной инженерии, после установки и получения прав позволяют злоумышленникам выполнять различные действия на устройстве без ведома пользователя. RAT может перехватывать сообщения и звонки, контролировать камеру и микрофон, отправлять уведомления, получать доступ к контактам, банковским данным, паролям, а также управлять устройством в реальном времени, создавая серьёзные угрозы безопасности и приватности владельца.

В ходе исследования угрозы нами обнаружено более 140 уникальных образцов CraxsRAT. Что в свою очередь, в совокупности с данными, полученными из системы F.A.C.C.T. Fraud Protection, позволило сделать предположение о методах распространения CraxsRAT, а также изучить особенности его маскировки и функциональных возможностей.

Так, возможно предположить, что основным вектором распространения ВПО является социальная инженерия, используя которую атакующие, злоупотребляя доверием пользователей, предлагают через мессенджеры, такие как WhatsApp, загрузить вредоносные APK-файлы, мимикрирующие под легитимные обновления приложений.

Изображение 1. Ссылка на загрузку ВПО CraxsRAT, направленная жертве в мессенджере WhatsApp

Среди семплов, выявленных специалистами компании F.A.C.C.T. Threat Intelligence на территории России,  значительная часть мимикрировала под приложения сервисов предоставления государственных и информационно-справочных услуг, антивирусное программное обеспечение, а также операторов связи. Среди фейков, например, были замечены названия таких ведомств и сервисов как Госуслуги, Минздрав, Минцифры России, Центральный Банк РФ,  и так далее.

Кроме того, часть образцов ВПО распространялась с именами «СПИСОК.СВО2024», «Гос.Списки СВО», «списки военнопленных», «spiski», это, в свою очередь, при наличии особых условий, может указывать на возможное использования CraxsRAT в качестве инструмента кибершпионажа.

В Беларуси злоумышленники прибегают к аналогичной тактике, маскируя свои программы под приложения популярных операторов сотовой связи.

В результате изучения особенности мимикрии ВПО можно предположить, что CraxsRat используется как финансово мотивируемыми группами, так и теми, чей целью является кибершпионаж.

В следующей части нашего исследования мы подробно рассмотрим технические аспекты работы CraxsRAT.

Описание CraxsRAT

CraxsRAT – многофункциональный Android Trojan разработанный автором под псевдонимом «EVLF DEV», изначально основанный на утекших в сеть исходных кодах вредоносного ПО SpyNote. CraxsRAT распространяется путем продажи билдеров данного трояна в Telegram. В связи с большой популярностью данного трояна в сети появилось большое количество взломанных билдеров которые при желании может найти и бесплатно загрузить любой злоумышленник. С недавнего времени мы замечаем большую активность этого трояна в России и Беларуси. Исходя из обнаруженного билдера, который, по нашим данным,  использовали злоумышленники, версия CraxsRAT активного по России и Беларуси – CraxsRat v6.7. Специалистами департамента киберразведки компании F.A.C.C.T. были изучены обнаруженные образцы и билдер-панель CraxsRAT v6.7.

Функциональные возможности CraxsRAT v6.7:

  • получение информации об устройстве;
  • закрепление в системе;
  • управление файловой системой телефона;
  • извлечение списка контактов и отправка им сообщений;
  • извлечение и отправка SMS-сообщений;
  • отслеживание и запись звонков;
  • отслеживание GPS;
  • перехват 2FA;
  • перехват нажатий и отображаемых событий;
  • записывание звонков и звука с микрофона;
  • управление камерой;
  • выполнение звонков на указанный номер;
  • создание скриншотов экрана;
  • удаленное управление экраном устройства;
  • выполнение сценариев кликов и вставки текста на устройстве;
  • отображение уведомлений-приманок;
  • перехватывание логинов, паролей и cookie-сайтов;
  • установка произвольных дополнительных приложений;
  • установка VPN и запрет выхода в сеть определенным приложениям;
  • отслеживание запуска и остановки определенных приложений;
  • противодействие запуска определенных приложений;
  • удаленная очистка устройства.

Далее представлены технические детали исследования образцов и билдера CraxsRAT v6.7

Технические детали

В ходе нашего исследования, для описания угрозы мы сконцентрировались на APK-файле, мимикрирующего под приложение «Минцифры России».

MD5: E868A915C11DB0C944D322EFA8E5C620
SHA1: 8C15733647C3539AAB425749D611073C859A3508
SHA256: EC4E56B56CBA6B5714148360E1BC7AC132E3B2AEFE8DC1F07B508D3956EA7497

Процесс выполнения

После установки иконка и имя приложения мимикрирует под Минцифры России

Изображение 6. Имя и иконка установленного приложения.

В результате запуска, отображается активность предлагающая пользователю предоставить приложению доступ к использованию AccessibilityService.

Изображение 7. Активность предлагающая пользователю выдать доступ к AccessibilityService.

После того как пользователь кликнет по активности, приложение выполнит запрос доступа к AccessibilityService.

Изображение 8. Запрос доступа к Accessibility.

После включения данных прав, отобразит непрозрачный полноэкранный фрагмент с анимацией загрузки. Это используется для сокрытия выдачи необходимых приложению прав. В момент отображения данного фрагмента, приложение с использованием возможностей AccessibilityService выдает себе необходимые права. После чего побуждает пользователя включить приложение в список «Device admin app».

Изображение 9. Активность предлагающая пользователю включить приложение в список «Device admin app».

Закрепление в системе

Для закрепления в системе, CraxsRAT регистрирует BroadcastReceiver, который будет запускать необходимый компонент приложения после перезагрузки и разблокировки устройства.

Противодействие удалению

Приложение содержит функции для предотвращения собственного обнаружения и удаления.

Например, активности исследуемого файла объявлены в манифесте как excludeFromRecents=true. Это предотвращает появление приложения в списке недавно запущенных и пользователь не будет его видеть.

Также семпл блокирует возможность удаления себя из Device Admin Apps, AccessibilityServices и списка установленных приложений, прокликивая и закрывая эти окна принудительно используя возможности AccessibilityService.

Предотвращает завершение основной службы приложения. Это реализовано с помощью широковещательного сообщения приложения с именем RestartSensor. В случае завершения своей работы, служба отправит данное сообщение. В приложении реализован BroadcastReceiver который отслеживает появления данного сообщения и перезапускает необходимую для работы ВПО службу.

Противодействие выполнения в виртуальной среде

CraxsRAT содержит функцию проверки запуска на эмуляторе и может завершать работу при его обнаружении.

Модули CraxsRAT

В данном разделе мы детальнее опишем некоторые из возможностей CraxsRAT.

Микрофон

CraxsRAT имеет возможность записи звука с микрофона. Записи будут сохранены в систему по пути с шаблоном: /sdcard/Config/sys/apps/rc/{yyyy-MM-dd-HH-mm-ss}_0_REC_[0-9]{5}.wav.

Кейлогер

CraxsRAT имеет возможность перехватывать содержимое элементов и пользовательский ввод используя AccessibilityService. Записи будут сохранены в файл по следующему пути /sdcard/Config/sys/apps/log/log-{yyyy-MM-dd}.txt.

Трекер приложений

CraxsRAT имеет возможность отслеживать работу определенных приложений, список которых содержится внутри приложения. Данный список может модерироваться по команде от C2-сервера. Отслеживание приложений заключается в мониторинге времени запуска, завершения указанной программы, создании скриншотов приложения. Текстовый лог запуска-завершения работы указанного приложения сохраняется по следующему пути: /sdcard/Config/sys/apps/AR/{APP_NAME}/info.json. Скриншоты будут сохраняться в систему по следующему пути: /sdcard/Config/sys/apps/AR/{APP_NAME}/{yyyy-MM-dd}/IMG-{ORDER_NUM}.jpg. Также будет создан файл /sdcard/Config/sys/apps/AR/{APP_NAME}/{yyyy-MM-dd}/.nomedia, это используется для сокрытия медиа-файлов в текущей директории от отображения в различных приложениях-галлереях.

Автокликер

CraxsRAT имеет возможность отслеживать активность пользователя и сохранять движения и координаты нажатий в JSON-файл по следующему пути: /sdcard/Config/sys/apps/tch/{filename}.json. Также по команде от C2-сервера, CraxsRAT может воспроизвести нажатия любого из таких файлов, тем самым сымитировать действия пользователя.

URL-Монитор

CraxsRAT имеет возможность перехватывать данные авторизации с указанных сайтов. Данные будут сохранены в файлах — /sdcard/Config/sys/apps/Data/{BASE64_URL}.txt.

Сетевая активность

CraxsRAT взаимодействует с C2-сервером по незашифрованному socket-соединению. Данные передаются в упакованном виде с помощью алгоритма GZip. При взаимодействии, данные будут иметь формат [data_size,  gzip_packed_data].

Команды обрабатываемые на стороне вредоносного ПО

 

Название команды Назначение
goauth запустить приложение Google Auth, com.google.android.apps.authenticator2
msg отобразить внизу экрана сообщение с указанным текстом
kill выполнять функции противодействия удалению да\нет
srec записать звук с микрофона и сохранить его в файл /Config/sys/apps/rc/{yyyy-MM-dd-HH-mm-ss}_0_REC_[0-9]{5}.wav.
pst вставить в элемент пользовательского интерфейса указанный текст
grc перечислить все сохраненные аудиозаписи из каталога /Config/sys/apps/rc/ (используется для хранения записи звука с микрофона), вывести метаданные каждого найденного файла
pslock отобразить на экране фрейм с указанным текстом, фрейм может быть не закрываемым
gtrc отправить на С2-сервер содержимое всех сохраненных аудио
lcm возвращает список доступных разрешений предварительного просмотра камеры
lnk открыть указанную ссылку в новом окне
SFD SLF удалить собственное приложение
SFD RE удалить все сохраненные аудиозаписи
SFD FK удалить все файлы, созданные кейлогером
SFD TH удалить все файлы из каталога /Config/sys/apps/tch (используется для хранения файлов нажатий и движений пользователя) и собственное приложение
adm lck заблокировать устройство
adm wip очистить устройство, включая данные на внутреннем и внешних накопителях (отчищает FRP, eSim и внешние карты)
sc сделать скриншот экрана
lodp cl удалить указанный файл в каталоге /Config/sys/apps/Data/ (используется для хранения данных авторизации в отслеживаемых сайтах)
lodp g отправить на С2-сервер содержимое указанного файла из каталога /Config/sys/apps/Data/
lodp re удалить сайт из списка для мониторинга
lodp ed обновить список сайтов
lodp ad добавить новый сайт в список для мониторинга
lodp l отправить на С2-сервер список всех файлов из каталога /Config/sys/apps/Data/
sp clk кликнуть по указанным координатам
sp hold кликнуть по указанным координатам и удерживать нажатие 3000мс
sp Bc нажать кнопку Назад
sp Ho нажать кнопку Home
sp Rc нажать кнопку Recent
sp SK2 сделать скриншот экрана, отправить его на С2, удалить скриншот с диска
sp LK заблокировать экран
sp SK сделать скриншот экрана без создания файла, отправить его на С2-сервер
noti отобразить Push-уведомление с указанным текстом
EHP получить новый адрес С2:port и сразу применить его. С2-адресов может быть передано несколько, массивом, разделенным знаком «:». CraxsRAT будет перебирать все С2-адреса, пока успешно не подключится к одному из списка
FW A разблокировать сетевую активность указанному приложению
FW B заблокировать сетевую активность указанному приложению
FW C отправить на С2-сервер список разрешенных и запрещенных приложений. В списке будут имена пакетов и иконки приложений
FW S запустить службу VPN
FW T остановить службу VPN
MO A добавить указанный пакет в список для отслеживания
MO D удалить все файлы отслеживания для указанного приложения за указанную дату
MO G отправить на С2 созданные файлы отслеживания для указанного приложения за указанную дату
MO L отправить на С2 журнал активности указанного пакета
MO R удалить журнал активности указанного пакета
MO S удалить указанный пакет из списка для отслеживания
rdd удалить запись кейлогера за указанную дату
rdall удалить все созданные записи кейлогера
rdall g отправить на С2 содержимое всех записей кейлогера
SCRD включить\отключить кейлогинг заголовка и содержимого окон
SCRD2 включить\отключить сбор данных модулем кейлоггер2
BLKV on отображать фейк фрейм видимым и кликабельным
BLKV off отображать фейк фрейм невидимым и некликабельным
Blkt изменить текст фейк фрейма
ussd выполняет запуск webview с указанной ссылкой (исходя из названия команды, запускает указанную ussd-команду переданную в ссылку с синтаксисом tel:{ussd_cmd})
RPM [lod] собрать информацию о разрешениях текущего приложения, версии SDK и отправить ее на С2-сервер
RPM ACC проверка наличия разрешений для доступа к AccessibilityService
RPM DOZ проверка активности режима энергосбережения Doze
RPM EX отправить на C2-сервер список разрешения приложения
RPM INST запросить указанные разрешения
KBO lod проверяет, включен ли на устройстве метод ввода (клавиатура) для текущего пакета
KBO AKP отображает диалоговое окно с текстом «Enable Simple keyboard , for better performance» и запрашивает включение клавиатуры
KBO AKA отображает окно выбора метода ввода
ssms отправить сообщение на указанный номер
ssms all отправить сообщение всем контактам из телефонной книги
CRD E добавить указанную программу в список для блокировки
CRD D убрать указанную программу из списка для блокировки
Aclk Start\Stop\Record\Repet включить\отключить мониторинг, записать\повторить действия модулем автокликер
Aclk [L] отправить список сохраненных файлов нажатий автокликера

CraxsRAT Builder/Panel 6.7

Изображение 10. Дашборд билдера CraxsRAT версии 6.7.

Данный билдер/панель позволяет собирать образцы CraxsRAT, а также поднимать сервера для контроля зараженных устройств. Для реализации сборок в данной панели также можно внедрять собственные сборки в другие приложения.

Изображение 11. Меню дропера CraxsRAT, позволяющее внедрять ВПО в собственное приложение.

Такие приложения будут извлекать и запускать ВПО в контексте собственного выполнения.

В данном блоге мы подробно остановимся на двух разделах CraxsRAT Builder/Panel — Builder и Clients, которые отвечают за сборку образцов и контролем зараженных устройств.

Меню Builder

Раздел information

Изображение 12. Раздел information используемый для настройки C2 и APK.

В данном разделе устанавливается C2-адрес, порт, имя клиента, имя приложения, имя пакета, иконка приложения, также может быть выбрана функция клонирования APK.

Раздел Options

Изображение 13. Раздел Options содержащий дополнительные настройки поведения APK.

В этом разделе возможно выбрать какое отображаемое пользователю поведение будет иметь приложение после установки, можно выбрать из предложенных а также указать собственное приложение или ссылку на сайт. Также в данном разделе можно поменять размер файла и контент закрепленного уведомления которое используется для закрепления в системе.

Раздел Tools

Изображение 14. Раздел Tools используемый для подключения дополнительных функций ВПО.

Данный раздел используется для выставления некоторых защитных модулей трояна и дополнительных возможностей. Также в данном меню представлена возможность включить в CraxsRAT дополнительный APK файл который будет установлен после запуска CraxsRAT через отображаемую активность, контент которой также можно адаптировать.

Среди дополнительных возможностей мы выделим:

Модуль Описание
Super Mod Выполнит запрос прав к использованию AccessibilityService. Используется трояном для автоматической выдачи прав, анти удаления, удаленного контроля, эксфильтрация отображаемого контента на экране и так далее.
Offline Keylogger Позволяет записывать активность пользователя и вводимые им значения даже в случае если он не подключен к панели. В таком случае весь лог будет храниться локально на устройстве.
Keep the screen on Предотвращает переход устройства в спящий режим.
Hide Permissions Screen Работает в паре Super Mod и используется для сокрытия автоматической выдачи прав. В момент выдачи прав пользователю будет отображен полноразмерный непрозрачный фрагмент.
Capture screen lock CraxsRAT может захватывать экран блокировки для того чтобы разблокировать телефон в режиме использования команды Screen Monitor (описана ниже)

 

 

Модуль Описание
Anti Emulator На устройстве будут выполнены проверки контекста в котором запущено приложения для предотвращения запуска в контекстах виртуальной среды.
Background data usage При инициализации будут запрошены права для возможности манипулирования данными в момент когда устройство подключено к сети.

Раздел Login

Изображение 15. Раздел Login позволяющий осуществлять модификацию окна запроса прав доступа к AccessibilityService.

Данный раздел используется для модерирования содержимого активности, которая используется для запроса прав доступа к AccessibilityService.

Раздел Monitor

Изображение 16. Раздел Monitor позволяющий указывать ресурсы, авторизационные данные которых, будут собираться ВПО.

Данный раздел используется для сбора информации об авторизации на указанных оператором ресурсов. CraxsRAT использует оригинальные ресурсы для сбора данных авторизации.

Раздел Build

Изображение 17. Раздел Build позволяющий осуществить сборку экземпляра ВПО.

Данный раздел является финальным, здесь выполняется непосредственно сборка образца. Также в данном разделе может быть указан список необходимых прав, список отслеживаемых приложений, тип сигнатуры и возможность использовать упаковщик приложения.

Clients (Контроль зараженных устройств)

После того как образец ВПО подключается к серверу, данный бот отобразится в панели, в разделе Clients. В данном разделе оператор ВПО имеет возможность отправлять команды и получать всю необходимую информацию из устройства жертвы.

Изображение 18. Раздел Clients содержащий информацию о зараженных устройствах .

В панели при выборе конкретного бота отображается меню возможностей (на рисунке с права). Ниже представлены подразделы с названием командных модулей и описанием.

File Manager

Изображение 19. Раздел File Manager.

Позволяет просматривать/выгружать данные с файловой системы зараженного устройства.

Screen Monitor

Изображение 20. Раздел Screen Monitor.

Позволяет удаленно управлять зараженным устройством. Есть возможность сохранить запись сеанса, а также отобразить непрозрачное окно поверх экрана с модерируемым сообщением. Это позволяет скрыть от пользователя вредоносную активность.

Camera Monitor

Изображение 21. Раздел Camera Monitor.

Позволяет просматривать и выполнять запись с камер устройства.

Microphone Monitor

Изображение 22. Раздел Microphone Monitor.

Позволяет прослушивать и контролировать микрофон устройства.

Screen Reader V2

Изображение 23. Раздел Screen Reader.

Аналогично Screen Monitor, позволяет контролировать устройство и выполнять запись объектов экрана.

Keylogger Monitor

Изображение 24. Раздел Keylogger Monitor.

Позволяет отслеживать вводимые данные а также смену отображаемых активностей на устройстве.

Craxs Browser

Позволяет открывать URL-ссылки, отслеживать активность браузера, вести запись активности, а также выполнять эксфильтрацию данных авторизации.

Auto Clicker

Изображение 28. Раздел Auto Clicker.

Позволяет выполнять и записывать ATS-сценарии.

Quick open link

Изображение 29. Раздел Quick open link.

Открывает URL-ссылку в браузере.

Accounts

Изображение 30. Раздел Accounts.

Отображает текущие аккаунты в приложениях устройства.

Clipboard

Изображение 31. Раздел Clipboard.

Позволяет манипулировать буфером обмена.

Calls Manager

Изображение 32. Раздел Calls Manager.

Отображает лог звонков.

Applications

Изображение 33. Раздел Applications.

Отображает список установленных приложений.

SMS Manager

Отображает список SMS-сообщений, а также позволяет отправлять произвольные SMS-сообщения.

Contacts Manager

Изображение 36. Раздел Contacts Manager.

Отображает список контактов устройства.

phone information

Изображение 37. Раздел phone information.

Отображает информацию об устройстве.

Permissions

Отображает список выданных и не выданных прав приложению, а также позволяет запрашивать необходимые права.

Show Message

Изображение 41. Раздел Show Message.

Позволяет отображать на устройстве произвольное Toast-сообщение.

Self Remove

Изображение 42. Раздел Self Remove.

Позволяет выполнять самоудаление из устройства.

Location Manager

Изображение 43. Раздел Location Manager.

Позволяет определять геолокацию устройства.

Block Client

Блокирует пользователя.

Дополнительные возможности

Также существуют две дополнительных команды Firewall и Targeting. Первая позволяет блокировать и разрешать доступ к сети установленным приложениям, а также запускать VPN. Вторая позволяет отслеживать активность выбранных приложений.

В случае если оператор нажмет правым кликом на клиента, отобразится подобное меню команд с различными возможностями.

Среди них мы выделили несколько уникальных, которые не представлены в основном меню:

  • Lock Screen (Выполняет блокировку экрана)
  • Wipe Data (Удаляет информацию с устройства)
  • Call Number (выполняет вызов на произвольный номер, может использоваться для выполнения USSD-запросов)
  • Download APK (выполняет загрузку APK-файла по ссылке)
  • Shell command (открывает shell-терминал с возможностью выполнять команды)
  • Restart Connection (выполняет переподключение на зараженном устройстве)
  • Disable Anti Kill (отключает функциональные возможности для противодействию удаления)

Выводы

В ходе проведённого анализа вредоносного программного обеспечения CraxsRAT выявлена его значительная угроза для устройств на платформе Android. Исследование более 140 уникальных образцов позволило изучить механизмы распространения, маскировки и функционал данного трояна. CraxsRAT обладает широким набором возможностей, включая удалённое управление устройством, эксфильтрацию данных, перехват коммуникаций и обход защитных механизмов, что значительно повышает его опасность для целевых систем.

Дополнительно установлены факты мимикрии CraxsRAT под легитимные приложения сервисов предоставления государственных и информационно-справочных услуг, антивирусного программного обеспечения, а также операторов связи, с учётом специфики региона его распространения. Эта тактика указывает на высокую степень адаптации CraxsRAT для социального инжиниринга, усиливая его эффективность в региональных кампаниях распространения.

Эти данные свидетельствуют о постоянной эволюции вредоносного ПО, его способности к улучшению и адаптации под конкретные условия. Можно предположить, что CraxsRAT продолжит развиваться, совершенствуя свои механизмы обхода систем защиты и расширяя функционал для поддержания своей эффективности и устойчивости к детектированию.

Рекомендации

Для предотвращения и защиты от потенциальных кибератак с использованием CraxsRAT специалисты F.A.C.C.T. Threat Intelligence рекомендуют:

  1. Осуществлять установку программного обеспечения из доверенных источников;
  2. Контролировать права приложений;
  3. Использовать передовые технологии анализа цифровых отпечатков и поведения пользователя для предотвращения мошенничества и обеспечения оптимального пользовательского опыта. Мы рекомендуем узнать, как F.A.C.C.T. Fraud Protection может эффективно противостоять такого рода атакам.
  4. Регулярно обучать сотрудников, чтобы сделать их менее подверженными фишингу во всех его формах.
  5. Использовать данные F.A.C.C.T. Threat Intelligence для обнаружения и проактивного поиска угроз.

Индикаторы компрометации (IOC)

Файловые индикаторы

  • AndroidLabel: Минцифры России
  • SHA-1: 13A5060F9C55213B32CD15B9662C32AB8C229699
  • AndroidLabel: Минцифры России
  • SHA-1: 1839A984FB36C22A3246E30D0855D9774640B933
  • AndroidLabel: Минцифры России
  • SHA-1: 099963C88422242B5A89B6BF3EE45B2930E61F7A
  • AndroidLabel: Минцифры России
  • SHA-1: 8A081310A842146EE8ACF2D50258E27AA1C22628
  • AndroidLabel: Минцифры России
  • SHA-1: 8C15733647C3539AAB425749D611073C859A3508
  • AndroidLabel: Минцифры России
  • SHA-1: 0666C0F295AD41905767D0B9CB732B9003239A28
  • AndroidLabel: Минцифры России
  • SHA-1: A319AA8CE827BAEE03BACCD0B055211828DBBA78
  • AndroidLabel: Kaspersky 2.0
  • SHA-1: BA538977AB9C62F316A0BA444258D052D1FD7215
  • AndroidLabel: Kaspersky 2.0
  • SHA-1: 5D910FBF47C69A797993D89E856C778BF5E8CE7D
  • AndroidLabel: Kaspersky 2.0
  • SHA-1: 6C94E7C6B6B8A960D3EEBE13C8C0E0BD6B4CDB87
  • AndroidLabel: Kasperskiy 2.0
  • SHA-1: FFF59BEF063A39A67492FE2015D3137114519062
  • AndroidLabel: Kaspersky
  • SHA-1: DEB93ECC501901CDEDD78711065786F39498F88A
  • AndroidLabel: Kaspersky
  • SHA-1: 3A2ACBBFC23A3872D613DDBB80D689153332E1CB
  • AndroidLabel: Kaspersky Антивирус и защита
  • SHA-1: 97B624F61D7DDA9842C16FEED1A71A2050DA4C0C
  • AndroidLabel: ЕМИАС.ИНФО
  • SHA-1: A6C9D99E0A52F97042DC49BBA843690982A9335D
  • AndroidLabel: ЕМИАС.ИНФО
  • SHA-1: 6CCA1ED74C48A836E1160446B33893F30FCC8821
  • AndroidLabel: ЕМИАС+
  • SHA-1: BB19C6BEB399536B991C05E079B60914
  • AndroidLabel: ЕМИАС+
  • SHA-1: 031B919210B5330F7E2298612DD30084B8D8E5CA
  • AndroidLabel: ЕМИАС+
  • SHA-1: 26586B3B3213234CAC76A2400012F638FDF4C54C
  • AndroidLabel: ЕМИАС+
  • SHA-1: 6E9B7BE519BD2622B1AFA59D408D493F365B041B
  • AndroidLabel: ЕМИАС
  • SHA-1: AB62BE4DF88A137C2777E51472C820E3FEF2B7E0
  • AndroidLabel: ЕМИАС.ИНФО
  • SHA-1: 8CD6DD1AB99AF1559E2A9D71DC259B078D10E0D8
  • AndroidLabel: emias
  • SHA-1: 0AC59C2147878032E7D57848647548C4C77E419F
  • AndroidLabel: Emias Info
  • SHA-1: 218F8E0D10A0144793BCC33BD6C2169FC8E2D5CD
  • AndroidLabel: ГосУслуги
  • SHA-1: 4E6510EB3A424178432835B1ACA36DC72A385765
  • AndroidLabel: ГосУслуги
  • SHA-1: 50C95753061D01016CFD991B2D4FC177E7F40124
  • AndroidLabel: Защита Госуслуг
  • SHA-1: 0357DD8B63BD77FAF8F86EB9FAA131864137890F
  • AndroidLabel: Защита Госуслуг
  • SHA-1: 45B8AD35E5AAB215E1ACF75B63073354E516A74D
  • AndroidLabel: Защита Госуслуг
  • SHA-1: 3B01096E00C3605A8B479636A495311DC6C6ED15
  • AndroidLabel: Защита Госуслуг
  • SHA-1: 4D93827232281AD1F7D8DE9CC776215924D5A27F
  • AndroidLabel: Мой А1 Подпись
  • SHA-1: 75DF07AA0561F7E9E5748820ED6CF30DC4CD9AD6
  • AndroidLabel: Мой А1
  • SHA-1: F7A965DB24D7694F4F87D6BEEFB8D93E9E04A8B8
  • AndroidLabel: Мой А1
  • SHA-1: C6EDB07D222F911B97E3C0C33AF0CFBB82D6FA7D
  • AndroidLabel: Мой А1
  • SHA-1: 4A0A452C9A7C5914EE390287B1B03AB7681D3D2B
  • AndroidLabel: Мой А1
  • SHA-1: 3DBC18DD3EC90D90BB75C7C1EA53546B7582C450
  • AndroidLabel: Rosfin
  • SHA-1: 9772988DFF931BF99174B8059E7AA2F3D2CF218D
  • AndroidLabel: Минздрав
  • SHA-1: 874727AF32909614186DA8175296E2EF94B41396
  • AndroidLabel: Минздрав
  • SHA-1: 37DCF9F477A852454ADE1E7B956BF7F2492492A2
  • AndroidLabel: Aктивация Защиты
  • SHA-1: E67C982DB57C967AD4CEC11FFB6F36A5DC10612B
  • AndroidLabel: Россети
  • SHA-1: 8DC976CA82DE8DA361D2149FCD032423DA124F69
  • AndroidLabel: Центральный Банк РФ
  • SHA-1: 131E0A0D03D8726C32111A0C4A92396E504642B6
  • AndroidLabel: Центральный Банк РФ
  • SHA-1: 7400096B3E19F898DFA1282F3BA775FAFD0DE34E
  • AndroidLabel: Система Безопасности
  • SHA-1: 50034BA1F048B8311421455FE532E1DFD46E7CB5
  • AndroidLabel: СПИСОК.СВО2024
  • SHA-1: 06F6D2707FC93309CE0E6585E8CE31FFA4AF1FA0
  • AndroidLabel: Гос.Списки СВО
  • SHA-1: 8DDA6034B40BC704276C47ABD130D3019344D07E
  • AndroidLabel: списки военнопленных
  • SHA-1: 76843A63EB1A128F4A3E660C78EBCC055E12E634
  • AndroidLabel: Гос. Списки СВО
  • SHA-1: B5DCC34AB5AA036B21B3965F320DA0C43155AA45
  • AndroidLabel: spiski
  • SHA-1: BDAFDAE5A1C53ED70A2215972EFBC2D2AADDFFD7
  • AndroidLabel: emias
  • SHA-1: F8C6371788BB2472004C414B2C74D75DC2160290
  • AndroidLabel: Список Мин обороны
  • SHA-1: AAD48B9DD6F1D92202112441FC0C96F9342AC755
  • AndroidLabel: EMИАС.ИНФО
  • SHA-1: BE067B6F9A7D78F55F2252991016EABCF7A0B5AD
  • AndroidLabel: ЕМИАС
  • SHA-1: 39F0CC1B1104063EB14BD228703A2A24B004EE38
  • AndroidLabel: ЕМИАС(52)
  • SHA-1: F0EABE1B3B999266EC2EC67F06915AB41C8ECC16
  • AndroidLabel: ЕМИАС
  • SHA-1: 5F29C993F95A4D11E66AC4852C929767E917EC8F
  • AndroidLabel: ЕМИАС.ИНФО
  • SHA-1: E82B708505E3140CE32D8F8FA1268F8B0B3A99C1

Сетевые индикаторы:

  • 5.45.82.246
  • 37.1.202.171
  • 37.1.205.70
  • 37.120.141.134
  • 38.180.122.142
  • 38.180.222.86
  • 38.180.222.135
  • 38.180.222.216
  • 77.220.212.101
  • 77.220.213.117
  • 81.31.197.147
  • 85.209.90.185
  • 88.218.93.42
  • 89.110.66.237
  • 89.110.119.44
  • 91.214.78.19
  • 91.214.78.151
  • 91.214.78.241
  • 91.246.41.110
  • 91.246.41.223
  • 94.103.92.56
  • 94.131.106.239
  • 95.164.7.118
  • 103.106.2.70
  • 103.106.2.82
  • 109.107.157.114
  • 176.57.71.198
  • 176.57.71.241
  • 176.57.71.251
  • 176.124.222.61
  • 176.124.222.106
  • 176.124.222.110
  • 176.124.222.112
  • 176.124.222.185
  • 185.93.6.94
  • 185.112.83.163
  • 185.112.83.175
  • 185.174.136.55
  • 185.174.136.227
  • 185.201.252.140
  • 185.219.82.123
  • 185.224.135.52
  • 185.229.65.25
  • 185.229.66.94
  • 185.229.66.188
  • 185.229.66.191
  • 185.229.66.220
  • 185.231.71.50
  • 185.231.71.51
  • 185.231.71.83
  • 185.231.71.89
  • 185.231.71.98
  • 185.237.165.82
  • 185.244.218.188
  • 185.251.25.101
  • 185.251.25.174
  • 193.3.168.73
  • 193.233.254.24
  • 194.15.46.80
  • 194.113.106.1
  • 194.113.106.178
  • 195.10.205.225
  • 195.200.19.233
  • 212.86.115.73
  • 213.166.68.167

MITRE ATT&CK

Техника Тактика Процедура
Initial Access (TA0027) Phishing (T1660) Злоумышленники направляют пользователям вредоносные ссылки на скачивание ВПО
Execution(ТА0041) Command and Scripting Interpreter: Unix Shell (T1623.001) CraxsRAT позволяет открыть shell-терминал с возможностью выполнять команд
Persistence (TA0028) Event Triggered Execution: Broadcast Receivers (T1624.001) Для закрепления в системе, CraxsRAT регистрирует BroadcastReceiver, который будет запускать необходимый компонент приложения после перезагрузки и разблокировки устройства
Privilege Escalation (TA0029) Abuse Elevation Control Mechanism: Device Administrator Permissions ( T1626.001) CraxsRAT побуждает пользователя включить приложение в список «Device admin app»
Defense Evasion (ТА0030) Download New Code at Runtime (T1407) CraxsRAT может осуществлять загрузку APK файла на устройство жертвы

 

Hide Artifacts: Suppress Application Icon (T1628.001) CraxsRAT может скрывать иконку приложения
Hide Artifacts: User Evasion (T1628.002) CraxsRAT имеет возможность отобразить непрозрачное окно поверх экрана с модерируемым сообщением, что в свою очередь, позволяет скрыть от пользователя вредоносную активность
Impair Defenses: Prevent Application Removal (T1629.001) СraxsRAT блокирует возможность удаления себя из Device Admin Apps, AccessibilityServices и списка установленных приложений, прокликивая и закрывая эти окна принудительно используя возможности AccessibilityService
Impair Defenses: Device Lockout (T1629.002) Команды «adm lck» и «sp LK» блокируют устройство и экран соответственно
Impair Defenses: Disable or Modify Tools (T1629.003) Команды «FW B» и «CRD E» блокируют сетевую активность указанного приложения или само приложение
Indicator Removal on Host: Uninstall Malicious Application (T1630.001) После получения команды «SFD SLF» CraxsRAT удаляет себя с устройства
Indicator Removal on Host: File Deletion (T1630.002) CraxsRAT позволяет злоумышленнику осуществлять удаления файлов на устройстве жертвы
Input Injection (T1516) CraxsRAT может эмитировать нажатия пользователя на экран и осуществлять вставку данных ввода в текстовые поля от имени пользователя
Masquerading: Match Legitimate Name or Location(T1655.001) В большинстве случаев СraxsRAT мимикрирует под легитимные приложения используя их название и значок
Virtualization/Sandbox Evasion: System Checks (T1633.001) На устройстве будут выполнены проверки контекста в котором запущено приложения для предотвращения запуска в контекстах виртуальной среды
Credential Access (ТА0031) Access Notifications (Т1517) СraxsRAT может отслеживать уведомления устройства
Clipboard Data (Т1414) Используя функцию Clipboard CraxsRAT может манипулировать данными в буфере обмена
Input Capture: Keylogging  (T1417.001) CraxsRAT может осуществлять сбор пользовательских данных используя функцию кейлогера
Input Capture: GUI Input Capture (T1417.002) CraxsRAT может осуществлять перехват нажатий и движений пользователя
Discovery (ТА0032) File and Directory Discovery (Т1420) CraxsRAT осуществляет сбор информации о файлах и каталогах
Location Tracking (T1430) CraxstRAT отслеживает местонахождение устройства
Process Discovery (Т1424) CraxsRAT отслеживает запущенные процессы
Software Discovery (Т1418) CraxsRAT собирает информацию об установленных приложениях
System Information Discovery (Т1426) CraxsRAT собирает информацию о системе
System Network Configuration Discovery: Internet Connection Discovery (T1422.001) CraxsRAT собирает информацию о сети
System Network Configuration Discovery: Wi-Fi Discovery (T1422.002) CraxsRAT собирает информацию о WiFi сети
Lateral Movement (ТА0033) Exploitation of Remote Services (T1428) При получении команды «FW S» CraxsRAT запускает VPN
Collection (ТА0035) Access Notifications (Т1517) СraxsRAT может отслеживать уведомления устройства
Archive Collected Data (T1532) CraxsRAT передает данные на С2 в упакованном виде с помощью алгоритма GZip. При взаимодействии, данные будут иметь формат [data_size,  gzip_packed_data]
Audio Capture (Т1429) CraxsRAT осуществляет запись с микрофона устройства
Call Control (Т1616) CraxsRAT может производить манипуляции с вызовами
Clipboard Data (Т1414) Используя функцию Clipboard CraxsRAT может манипулировать данными в буфере обмена
Data from Local System (Т1533) CraxsRAT осуществляет сбор информации о файлах и каталогах
Input Capture: Keylogging  (T1417.001) CraxsRAT может осуществлять сбор пользовательских данных используя функцию кейлогера
Input Capture: GUI Input Capture (T1417.002) CraxsRAT может осуществлять перехват нажатий и движений пользователя
Location Tracking (T1430) CraxstRAT отслеживает местонахождение устройства
Protected User Data: Call Log  (T1636.002) CraxsRAT собирает информацию о журнале вызовов
Protected User Data: Contact List (T1636.003) CraxsRAT собирает информацию о списке контактов
Protected User Data: SMS Messages (T1636.004) CraxsRAT собирает информацию о СМС сообщениях
Screen Capture (Т1513) CraxsRAT может делать снимки экрана
Stored Application Data (Т1409) CraxsRat может осуществлять сбор данных приложений
Video Capture (Т1512) CraxsRAT может получать доступ к камере устройства
Command and Control (ТА0037) Call Control (Т1616) CraxsRAT может производить манипуляции с вызовами
Ingress Tool Transfer (Т1544) Может осуществлять загрузку APK файлов
Non-Standard Port (1509) Может использовать нестандартный порт (по умолчанию 7771)
Exfiltration (ТА0036) Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol (T1639.001) CraxsRAT взаимодействует с C2-сервером по незашифрованному socket-соединению.
Impact (ТА0034) Account Access Removal (Т1640) CraxsRAT может получить доступ к учетным записям жертвы
Call Control (Т1616) CraxsRAT может производить манипуляции с вызовами
Data Destruction (T1662) CraxsRAT может осуществить уничтожение пользовательских данных
Data Manipulation (T1641) CraxsRAT может осуществлять манипуляцию пользовательскими данными находящимися на устройстве
Data Manipulation: Transmitted Data Manipulation (T1641.001) CraxsRAT может осуществлять манипуляцию с передаваемыми данными
Generate Traffic from Victim (Т1643) CraxsRAT может осуществлять генерацию трафика путем доступа к веб-ресурсам или рассылки СМС сообщений
Input Injection (T1516) CraxsRAT может эмитировать нажатия пользователя на экран и осуществлять вставку данных ввода в текстовые поля от имени пользователя
SMS Control (T1582) CraxsRAT осуществляет манипуляции с СМС сообщениями