Un acteur menaçant syrien nommé EVLF a été présenté comme le créateur des familles de logiciels malveillants CypherRAT et CraxsRAT.
« Ces RAT sont conçus pour permettre à un attaquant d’effectuer à distance des actions en temps réel et de contrôler la caméra, l’emplacement et le microphone de l’appareil victime », a déclaré la société de cybersécurité Cyfirma dans un rapport publié la semaine dernière.
CypherRAT et CraxsRAT seraient proposés à d’autres cybercriminels dans le cadre d’un programme de malware en tant que service (MaaS). On estime que jusqu’à 100 auteurs de menaces uniques ont acheté les deux outils avec une licence à vie au cours des trois dernières années.
EVLF exploiterait une boutique en ligne pour faire la publicité de ses produits depuis au moins septembre 2022.
CraxsRAT est présenté comme un cheval de Troie Android qui permet à un acteur malveillant de contrôler à distance un appareil infecté à partir d’un ordinateur Windows, le développeur publiant régulièrement de nouvelles mises à jour en fonction des commentaires des clients.
Le package malveillant est généré à l’aide d’un générateur doté d’options permettant de personnaliser et de masquer la charge utile, de choisir une icône, le nom de l’application, ainsi que les fonctionnalités et autorisations qui doivent être activées une fois installées sur le smartphone.
« CraxsRAT est l’un des RAT les plus dangereux dans le paysage actuel des menaces Android, avec des fonctionnalités percutantes telles que le contournement de la protection de Google Play, l’affichage en direct sur l’écran, ainsi qu’un shell pour l’exécution des commandes », a expliqué Cyfirma.
« La fonctionnalité ‘Super Mod’ rend l’application encore plus mortelle, ce qui rend difficile la désinstallation de l’application pour les victimes (chaque fois que la victime essaie de la désinstaller, la page plante). »
Le malware Android demande également aux victimes de lui accorder des autorisations sur les services d’accessibilité d’Android, ce qui lui permet de récolter une multitude d’informations qui seraient précieuses pour les cybercriminels, notamment les journaux d’appels, les contacts, le stockage externe, la localisation et les messages SMS.
EVLF a été observé exploitant une chaîne Telegram nommée « EvLF Devz » qui a été créée le 17 février 2022. Elle compte 10 678 abonnés au moment de la rédaction.
Une recherche de CraxsRAT fait apparaître de nombreuses versions crackées du malware hébergées sur GitHub, bien qu’il semble que Microsoft en ait supprimé certaines au cours des derniers jours. Le compte GitHub d’EVLF reste cependant actif sur le service d’hébergement de code.
Le 23 août 2023, EVLF a publié un message sur la chaîne disant qu’elle abandonnait le projet, probablement en réponse à la divulgation publique de ses activités.
« Malheureusement, c’est la fin, en raison des circonstances de la vie, je vais arrêter de développer et de publier », a déclaré EVLF dans son message. « Pour mes clients, ne vous inquiétez pas, je ne vous laisserai pas partir, je publierai quelques correctifs pour vous avant de partir. »
