CraxsRAT: как один троян крадёт половину денег с карт в России

Половина всех краж с банковских карт в России за последние полгода совершается одним семейством троянов для Android. Наследник SpyNote, троян CraxsRAT, заражает устройства, открывает банковские приложения и выводит деньги, оставаясь при этом крайне живучим. Большинство разборов этого вредоноса ограничиваются списками индикаторов компрометации (IOC), которые быстро устаревают. Это исследование идёт глубже, вскрывая фундаментальные уязвимости в самом протоколе трояна.

Старший аналитик сетевой безопасности «Гарды» Евгения Устинова провела статический анализ нескольких версий CraxsRAT, от v3.7.1 до v7.6, включая его форки EagleSpy, VIPRat и другие. Исследование восстановило полную хронологию атаки на основе реального трафика и разобрало протокол трояна до байтов. Ключевое открытие: у CraxsRAT есть сетевая активность, которую невозможно отключить, не сломав клиент. Это не просто ошибка, а фундаментальное свойство его архитектуры.

Используя эти базовые свойства протокола, аналитик построила правила для системы обнаружения вторжений Suricata. Эти правила нацелены не на конкретные сигнатуры, которые злоумышленники могут легко изменить, а на неизменяемую логику работы трояна. Такой подход создаёт более долговечный барьер для CraxsRAT и его производных, сигнализируя о серьёзном давлении на безопасность мобильного банкинга в России и требуя от финансовых институтов пересмотра стратегий защиты на уровне сетевого трафика.