这是关于高级 Craxs 远程管理工具的第二份报告：在上一份报告中，曝光了针对 Android 设备的破坏性远程管理工具的开发人员，并审查了该小组，包括该工具生成的 Android 恶意软件。 EVLF 的老运营商（来自叙利亚）将该频道出售给了来历不明的新政府。幸运的是，在这笔交易发生之前，我们能够查明CraxsRAT原始开发运营商的真实身份，并向有关当局报告。在本报告中，我们正在审查新添加的充当滴管角色的功能，这是一种添加到 Android 远程管理工具中的新技术，以前在任何其他公开可用的 RAT 中都没有见过。

更新后的 Craxs 远程管理工具现在包含一个额外的构建选项。主要构建选项已经可用，提供了一系列破坏性功能和一些新的附加组件，但是，主要构建中的 Android 包包含与之前报告的代码类似的代码，即面板的新附加组件启用威胁行为者创建一个滴管。当与精心策划的社交工程相结合时，此功能可以进一步诱骗 Android 用户。在进一步的分析中，我们深入研究了释放器的功能以及有效负载代码如何充当释放器。

该面板的主要构建器使威胁参与者能够配置受感染设备与命令和控制之间的连接。

该面板还允许威胁参与者通过选择图标、大小和网站来自定义主要有效负载，以添加到 Web 视图模块。

此外，CYFIRMA 研究指出，最近针对 RAT 的帖子和教程以普通话发布，增加了中国威胁行为者对该恶意软件感兴趣的可能性。

我们观察到，威胁行为者越来越多地利用各种 Android 远程访问木马 (RAT) 来攻击毫无戒心的互联网用户。在这些 RAT 中，CraxsRat 已成为各种威胁行为者的首选，特别是那些具有基于 Android 目标的威胁行为者。鉴于 CraxsRat 开发者和中国用户之间的互动不断增加，中国威胁行为者采用该工具的可能性很大。此次合作包括分享如何操作 RAT 的中文教程。需求的激增引起了人们的担忧。尽管互联网用户不容易访问该 RAT，但确实存在文件泄露的情况，这通常是由在 Telegram 等平台内操作的流氓个人的活动造成的。我们观察到对 CraxsRat 的高需求，这为 Android 用户创造了潜在的更高风险威胁环境。这个强大的工具可用于各种恶意活动，包括金融诈骗和网络间谍活动。

此外CraxsRat还检测出了支持各大交易所的漏洞，开发者在频道一直从事它的工作…