近日，惡意軟件系列 CypherRAT 和 CraxsRAT 的創建者曝光，是一位名為 EVLF 的敘利亞威脅行為者。

網絡安全公司Cyfirma在上周發布的一份報告中提到：這些RAT旨在允許攻擊者遠程執行實時操作，并控制受害者設備的攝像頭、位置和麥克風。

據說，CypherRAT 和 CraxsRAT 會作為惡意軟件即服務（MaaS）計劃的一部分提供給其他網絡犯罪分子。在過去的三年里，有多達 100 名獨特的威脅行為者以終身許可的方式購買了這兩個工具。

根據調查，EVLF 至少從 2022 年 9 月開始就一直在經營一家網店，并為其創建的惡意軟件打廣告。

CraxsRAT 號稱是一款安卓特洛伊木馬程序，能讓威脅者從 Windows 計算機遠程控制受感染的設備，開發者會根據客戶的反饋不斷發布新的更新版本供使用。

惡意軟件包是通過一個生成器生成的，該生成器提供了自定義和混淆有效載荷、選擇圖標、應用程序名稱以及安裝到智能手機后需要激活的功能和權限等選項。

Cyfirma解釋說：CraxsRAT是當前安卓威脅中最危險的RAT之一，它具有谷歌播放保護繞過、實時屏幕視圖以及用于執行命令的外殼等強大功能。

超級Mod功能使該應用程序更加致命，讓受害者難以卸載該應用程序，每當受害者試圖卸載時，頁面就會崩潰。

該安卓惡意軟件要求受害者授予其訪問安卓服務的權限，以獲取大量對網絡犯罪分子有價值的信息，包括通話記錄、聯系人、外部存儲、位置和短信等。

據觀察，EVLF 運營著一個名為 "EVLF Devz "的 Telegram 頻道，該頻道創建于 2022 年 2 月 17 日。截至發稿時，該頻道已有 10,678 名用戶。

在 GitHub 上搜索 CraxsRAT，會出現大量該惡意軟件的破解版本，不過在過去幾天里，微軟似乎已經刪除了其中一些版本。不過，EVLF 的 GitHub 賬戶仍然活躍在代碼托管服務上。

2023 年 8 月 23 日，EVLF在該頻道發布消息稱他們將暫停該項目。

EVLF 在帖子中說：由于生活所迫，后續他將停止開發和發布。但是客戶無需擔心，在他離開之前會為用戶發布幾個補丁以供其后續使用。