A empresa de segurança cibernética Cyfirma afirma ter descoberto a identidade real do desenvolvedor por trás dos trojans de acesso remoto (RATs) CypherRAT e CraxsRAT.
Usando o identificador on-line de ‘EVLF DEV‘ e operando fora da Síria nos últimos oito anos, acredita-se que o indivíduo tenha ganho mais de US $ 75.000 com a venda dos dois RATs para vários agentes de ameaças. A mesma pessoa também é uma operadora de malware como serviço (MaaS), de acordo com a Cyfirma.
Nos últimos três anos, a EVLF oferece o CraxsRAT, um dos Android RATs mais perigosos disponíveis atualmente, em uma loja virtual de superfície, com pelo menos 100 licenças vitalícias vendidas até o momento.
O construtor CraxsRAT, diz Cyfirma, gera pacotes altamente ofuscados, permitindo que os agentes de ameaças personalizem o conteúdo com base no tipo de ataque que estão preparando, inclusive com injeções de página WebView.
O construtor também inclui um recurso de instalação rápida que gera aplicativos com poucas permissões de instalação para ajudar a ignorar as detecções. Após a instalação, no entanto, o agente da ameaça pode enviar solicitações para ativar permissões adicionais.
“Para ter acesso à tela do aparelho e às teclas digitadas, o app precisa habilitar sua acessibilidade nas configurações. Assim, o construtor permite que o agente da ameaça edite a página que aparece logo após a conclusão da instalação do aplicativo”, observa Cyfirma.
Ademais, um recurso de ‘super mod’ está disponível para dificultar a remoção do aplicativo dos dispositivos infectados, travando a página sempre que uma tentativa de desinstalação é detectada.
Nos dispositivos infectados, o RAT pode buscar a localização precisa do dispositivo, ler e roubar contatos, acessar o armazenamento do dispositivo e ler mensagens e registros de chamadas.
A investigação da Cyfirma sobre o paradeiro de EVLF levou à descoberta de um canal do Telegram com mais de 10.000 assinantes e de uma carteira criptográfica que revelou os ganhos do desenvolvedor de malware com a venda dos RATs ao longo de pelo menos três anos.
A Cyfirma entrou em contato com a empresa de carteira de criptomoedas para solicitar o congelamento dos ativos do agente da ameaça até que uma verificação de identidade fosse realizada.
Com os fundos restantes congelados após a verificação, o EVLF iniciou um tópico em um fórum de discussão sobre criptografia, o que ajudou a Cyfirma a descobrir informações adicionais sobre o adversário, como nome real, vários nomes de usuário, endereço IP e endereço de e-mail.
“Com base em nossa investigação, pode-se afirmar com grande confiança que o EVLF está sendo operado por um homem da Síria”, observa Cyfirma.