CraxsRat 版本对比和针对性预防发现

CraxsRat的作者

恶意软件系列 CypherRAT 和 CraxsRAT 的创建者曝光，是一位名为 EVLF 的叙利亚威胁行为者。

EVLF 至少从 2022 年 9 月开始就一直在经营一家网店，并为其创建的恶意软件打广告。

CraxsRAT 号称是一款安卓特洛伊木马程序，能让威胁者从 Windows 计算机远程控制受感染的设备，开发者会根据客户的反馈不断发布新的更新版本供使用。

恶意软件包是通过一个生成器生成的，该生成器提供了自定义和混淆有效载荷、选择图标、应用程序名称以及安装到智能手机后需要激活的功能和权限等选项。

（内容来自腾讯新闻：https://new.qq.com/rain/a/20230824A08E9I00）

CraxsRat的历史

据观察，EVLF 运营着一个名为 "EVLF Devz "的 Telegram 频道，该频道创建于 2022 年 2 月 17 日。截至发稿时，该频道已有 10,678 名用户。

在 GitHub 上搜索 CraxsRAT，会出现大量该恶意软件的破解版本，不过在过去几天里，微软似乎已经删除了其中一些版本。不过，EVLF 的 GitHub 账户仍然活跃在代码托管服务上。

2023 年 8 月 23 日，EVLF在该频道发布消息称他们将暂停该项目。

EVLF 在帖子中说：由于生活所迫，后续他将停止开发和发布。但是客户无需担心，在他离开之前会为用户发布几个补丁以供其后续使用。 （内容来自腾讯新闻：https://new.qq.com/rain/a/20230824A08E9I00）

CraxsRat的小道消息

听故事喽

这是一个我从国外朋友那里听到的故事。 （这是他说的部分…） 曾经，有一个天才程序员名叫EVLF。他是编程界的一个传奇，拥有无与伦比的技术才能和创造力。然而，他却背负着沉重的内心负担，因为他创造了一款非常厉害的程序，被称为CraxsRat。

CraxsRat不仅是一个卓越的黑客工具，还具有巨大的破坏力。它可以入侵任何系统，获取敏感信息，控制整个网络，并实施各种恶意行为。EVLF深知这样的力量，也为自己所创造的东西感到后悔和担忧。他开始产生妄想症，认为自己被全球各地的组织和黑客团体盯上，他的身份暴露了。

为了保护自己，EVLF做出了一个决定。他决定以十万美元的价格将CraxsRat的源代码分别卖给****人和一个俄罗斯人。尽管心中充满了无尽的痛苦和担忧，但他相信这样做能够分散注意力，并使自己摆脱可能的追杀。销售完成后，EVLF销声匿迹，消失在了人们的视野中。

然而，命运并没有轻易放过EVLF。几个月后，他的行踪被一群不明身份的人探知，他们意识到CraxsRat的源代码已经被出售。这群人中有着复杂背景的黑客、情报机关和犯罪组织成员。

各方都追着CraxsRat的源代码展开调查和追捕，在全球范围内展开了一场巨大的博弈。当然，****人和一个俄罗斯人也揣着CraxsRat的源代码，他们纷纷试图分析和利用它。

然而，他们都发现CraxsRat并不是想象中那么简单。它隐藏着复杂的算法和安全措施，使得解析它变得异常困难。每个购买源代码的人都陷入了对CraxsRat的奋斗中，并且在这个旅程中付出了巨大代价。

（这是我想的的部分…）

与此同时，EVLF在一个偏僻的地方度过着隐匿的生活。他观察着这一切，感受着自己创造的威力，却也感受到巨大的愧疚和内疚。他明白，他的行为给世界带来了混乱和危险。

经过一段时间的苦思冥想，EVLF决定采取行动，修复自己犯下的错误。他决定找到****人和一个俄罗斯人，与他们合作，找出CraxsRat的解决方案，并尽一切努力抑制它的影响。这个过程是艰辛而困难的，但EVLF知道，只有这样他才能纠正自己的错误并改变事态的发展。

最终，EVLF和三个购买源代码的人一起团结起来，共同对抗CraxsRat的威胁。他们合力攻克了一个又一个技术难题，破解了一个又一个安全措施。他们心有灵犀地合作，在抵挡源代码的恶意渗透时不断取得进展。

经过长时间的奋战，他们终于找到了CraxsRat的解决方案，并成功取消了它的全部功能。这款致命的程序再也无法造成威胁。

这个故事告诉我们，即使在最黑暗的时刻，即使犯下了巨大的错误，我们都有机会去弥补过失，并与他人合作来修复损害。正如EVLF最终走上纠正错误的道路一样，我们也可以通过努力和奋斗改变自己和世界。

正题：关于CraxsRat的版本说法

CraxsRat，作为一个黑客工具的源代码，自从被销售出去后，听说在易用性方面经历了几次改版。但是，主要的核心功能仍是由EVLF所编写，但据传闻，部分改版可能发生在用户界面和交互体验方面，以提高用户的操作便捷性，最为广为流传的应该是7.1版本，主要是功能完整和长时间使用的稳定性非常好。

这样的改动并不罕见，因为在软件开发中，随着用户需求和技术发展的变化，时常需要对程序进行改进和升级。通过优化用户界面和增加易用性功能，黑客工具可以更加吸引用户，并提供更广泛的功能和选项。

关于CraxsRat的7.4版本，我目前没有确凿的信息来证实其存在与否。通常版本号的增加意味着软件经历了重大更新，可能包括新功能的添加、漏洞修复和性能优化等。

尽管有消息称有人可能已经开发出7.4版本，但我无法确定这是否真实有效，也有可能 仅仅是更新了一下版本号，谁又知道呢？

正题：7.1版本和7.2版本的测试对比

版本7.1 被设计成一个可安装且隐蔽性很高的手机APP。这个APP具有两个主要作用：第一是在程序启动时跳转到指定的浏览器页面，第二是开启控制手机的过程。这种功能设计，给用户或手机所有者带来了极大的隐私和数据安全风险。

首先要谴责这样的应用程序设计。通过迫使用户访问指定的浏览器页面并在背景发起控制行为的功能，这个APP实际上是在绕过用户的知情同意去获取权限控制手机的操作。而且更加糟糕的是，一旦开启远程监控，用户几乎无法停止被监控的行为，除非服务器主动卸载该应用程序，这无疑是对用户隐私权的极大侵犯。

从技术上看，这种APP控制行为非常危险。它可以包括操作控制、文件控制、外设控制、通信控制等，意味着入侵者可以监视和操纵手机的方方面面。这将使用户的个人信息、通信记录、甚至支付信息等数据面临极大的泄露风险。此外，如果此类恶意行为者利用这些控制能力进行违法犯罪活动，其后果将不堪设想。

版本7.2 该安卓应用程序在7.1版本版本的基础上经过了一些修改。其中，有两个主要功能不起作用：首先，涉及到手机权限获取的功能，初始权限获取为空，需要服务器手动逐个开启权限；其次，服务器卸载手机应用程序的功能受限，需要选择刷新手机数据选项才能进行卸载。

这样的修改带来了一些影响和问题。首先，在权限获取方面，应用程序的初始权限为空意味着在安装后没有被要求授予任何权限。这使得应用程序无法正常运行所需的功能和操作。而服务器需要手动逐个开启权限的操作更加繁琐和耗时，并可能导致操作不完整或出错。

其次，在卸载功能方面，服务器可以从远程卸载手机应用程序。然而，根据测试，卸载功能不起作用，需要选择刷新手机数据选项才能进行卸载。这个情况可能对服务器的使用者造成一定困扰。

此外，部分功能有删除和操作界面做了汉化。功能的删除意味着一些原本可能存在的控制能力被剥夺，这可以被视为对原始构建目的的调整。操作界面的汉化则提供了更符合中文用户习惯和使用习惯的体验。

总结

核心功能依旧没变，危险系数依旧很高，值得引起人们的警惕。

预防和发现CraxsRat手机控制木马程序

这才是今天我要讲的重点:根据特点来预防手机控制木马程序，避免对我们造成危害。

预防方法：

谨慎下载：下载应用程序时要通过官方渠道如应用商店下载，避免从未知来源下载应用程序，尤其是要注意网址的细微差异。

查看权限：在安装应用程序之前，要仔细查看应用所需的权限，确保应用程序并没有请求过多敏感权限。

更新系统：及时更新手机操作系统和应用程序，以获取最新的安全补丁。

安全软件：安装可信赖的手机安全软件，定期扫描手机系统，及时发现并清除潜在的恶意程序。

教育用户：提高用户的网络安全意识，教导他们识别和避免潜在的网络威胁。

发现方法：

链接跳转：当运行某应用程序后突然跳转到与该应用名称无关的特定链接时，可能是存在恶意行为。

功能缺失：如果手机上安装的应用程序本身没有任何功能，可能是因为应用程序被篡改或感染了恶意代码。

控制迹象：如果发现手机出现自动操作、异常支付、收到威胁信息或其他无法解释的现象，可能是手机受到控制或感染了恶意程序。

手机防病毒和防木马是每个手机用户都应该关注和重视的问题。通过谨慎下载应用程序，保持系统和应用程序的更新，安装安全软件和提高安全意识，可以有效预防和发现手机病毒和木**风险。同时，发现手机异常行为时及时采取措施，包括断网、清除数据、卸载可疑应用等，以保护个人隐私和信息安全。

总结

在数字化信息时代，手机已经成为我们生活的延伸，保护手机安全就是在维护我们个人信息和数字资产的安全。希望每位用户都能认识到手机安全的重要性，并采取有效的措施来保障自己的隐私和数据安全。