介绍这是关于高级 Craxs 远程管理工具的第二份报告：在上一份报告中，曝光了针对 Android 设备的破坏性远程管理工具的开发人员，并审查了该小组，包括该工具生成的 Android 恶意软件。 EVLF 的老运营商（来自叙利亚）将该频道出售给了来历不明的新政府。幸运的是，在这笔交易发生之前，我们能够查明CraxsRAT原始开发运营商的真实身份，并向有关当局报告。在本报告中，我们正在审查新添加的充当滴管角色的功能，这是一种添加到 Android 远程管理工具中的新技术，以前在任何其他公开可用的 RAT 中都没有见过。技术分析更新后的 Craxs 远程管理工具现在包含一个额外的构建选项。主要构建选项已经可用，提供了一系列破坏性功能和一些新的附加组件，但是，主要构建中的 Android 包包含与之前报告的代码类似的代码，即面板的新附加组件启用威胁行为者创建一个滴管。当与精心策划的社交工程相结合时，此功能可以进一步诱骗 Android 用户。在进一步的分析中，我们深入研究了释放器的功能以及有效负载代码如何充当释放器。流程概览该面板的主要构建器使威胁参与者能够配置受感染设备与命令和控制...