برنامج SURXRAT الخبيث
SURXRAT هو برنامج تجسس متطور للتحكم عن بُعد في أجهزة أندرويد، يُوزّع وفق نموذج البرمجيات الخبيثة كخدمة (MaaS) عبر منصة تعتمد على تطبيق تيليجرام. تشير تحليلات شفرة المصدر والتشابهات الوظيفية إلى أنه من المحتمل أن يكون قد تطور من برنامج Arsink RAT. صُمم SURXRAT لاختراق أجهزة أندرويد، ويُمكّن من سرقة البيانات على نطاق واسع، والتحكم عن بُعد بالأجهزة، وحتى إغلاقها بالكامل.
جدول المحتويات
نموذج الأعمال الإجرامية: مخططات إعادة البيع والشراكة
يتم تسويق برنامج SURXRAT من خلال مستويين من الاشتراكات المدفوعة لمرة واحدة، كل منهما مصمم خصيصًا لمستويات مختلفة من المؤسسات الإجرامية:
خطة إعادة البيع : تسمح بما يصل إلى ثلاث نسخ من البرامج الضارة يوميًا وتسمح بإعادة التوزيع وفقًا للأسعار التي يحددها المشغل.
خطة الشريك : تسمح بما يصل إلى عشرة عمليات بناء يوميًا وتخول المشترين إنشاء شبكات إعادة البيع الخاصة بهم.
تتضمن كلتا الحزمتين ترقيات مجانية للخادم، مما يعزز الطبيعة المنظمة والقابلة للتوسع لهذا النظام البيئي غير المشروع.
سير عمل مكافحة العدوى وإساءة استخدام الأذونات
عند تشغيله، يطلب برنامج SURXRAT الخبيث بشكل مكثف أذونات عالية الخطورة، بما في ذلك الوصول إلى بيانات الموقع وجهات الاتصال والرسائل النصية القصيرة ومساحة تخزين الجهاز. وبمجرد منحها، يحثّ البرنامج الضحية على تفعيل خدمات إمكانية الوصول في نظام أندرويد. تُمكّن هذه الخطوة الحرجة التطبيق الخبيث من مراقبة النشاط على الشاشة وتنفيذ إجراءات تلقائية دون علم المستخدم.
بعد الحصول على الصلاحيات المطلوبة، يجمع برنامج SURXRAT معلومات شاملة عن الجهاز، بما في ذلك قوائم جهات الاتصال، ومحتوى الرسائل النصية، وسجلات المكالمات، والشركة المصنعة للجهاز وطرازه، وإصدار نظام أندرويد، ومستوى البطارية، وتفاصيل شريحة SIM، ومعلومات الشبكة، وعنوان IP العام. ويحافظ البرنامج الخبيث على تشغيله في الخلفية بشكل مستمر مع استمرار الاتصال ببنية التحكم والسيطرة الخاصة به. كما يقوم بتفعيل وحدات مخصصة مسؤولة عن المراقبة والتحكم في النظام وجمع البيانات.
قدرات المراقبة وتسريب البيانات
يُتيح برنامج SURXRAT للمشغلين رؤية شاملة للأجهزة المخترقة. وتشمل قدراته على سرقة البيانات الوصول إلى الرسائل النصية القصيرة، وجهات الاتصال، وسجلات المكالمات، والتطبيقات المثبتة، ومعلومات النظام التفصيلية. كما يمكن للبرنامج الخبيث استخراج بيانات حساب Gmail، ومراقبة الموقع في الوقت الفعلي، وجمع بيانات الشبكة والاتصال.
تتضمن ميزات المراقبة الإضافية اعتراض الإشعارات، ومراقبة الحافظة، وتتبع سجل تصفح الإنترنت. يستطيع هذا البرنامج الخبيث التقاط بيانات أبراج الاتصالات، ومسح شبكات الواي فاي المتاحة، وتسجيل سجلات الاتصال، والوصول إلى جميع الملفات على الجهاز من خلال مكون إدارة ملفات مدمج.
التلاعب بالأجهزة عن بعد وتعطيلها
إلى جانب التجسس، يمنح برنامج SURXRAT المهاجمين تحكمًا كاملًا عن بُعد في الأجهزة المصابة. تشمل قدراته فتح قفل الجهاز، وإجراء المكالمات الهاتفية، وتغيير خلفيات الشاشة، وتشغيل الصوت، وإحداث تأخير مصطنع في الشبكة، وإرسال الإشعارات الفورية، وإجبار الجهاز على فتح مواقع ويب محددة. كما يمكنه أيضًا تشغيل المصباح اليدوي، وتفعيل الاهتزاز، وإضافة نصوص مخصصة على الشاشة.
تتيح وظائف أكثر خطورة للمستخدمين قفل الجهاز باستخدام رمز PIN من اختيارهم أو مسح البيانات المخزنة بالكامل. ويُقدم إصدار حديث آلية لتقييد سرعة الإنترنت تُبطئ اتصال الضحية عمدًا. ويتم ذلك عن طريق بدء تنزيل ملف ضخم مُستضاف على موقع Hugging Face. تبدأ عملية التنزيل تلقائيًا عند تشغيل تطبيقات ألعاب معينة، بما في ذلك إصدارات خاصة من لعبة Free Fire، أو عندما يُحدد المهاجم تطبيقات مستهدفة بديلة عبر خادم التحكم.
وظيفة مدمجة لمكافحة برامج الفدية
يشتمل برنامج SURXRAT الخبيث على خاصية قفل تشبه برامج الفدية، حيث يعرض رسالة على كامل الشاشة ويؤمّن الجهاز برقم تعريف شخصي (PIN). يستطيع المهاجمون طلب الفدية، ومراقبة محاولات إدخال رقم التعريف الشخصي الخاطئة في الوقت الفعلي، وإزالة القفل عن بُعد عند الحاجة. تُستغل هذه الإمكانيات عادةً في عمليات الابتزاز المالي.
الآثار والتداعيات الأمنية
يُعدّ برنامج SURXRAT تهديدًا متعدد الوظائف لنظام أندرويد، إذ يجمع بين سرقة البيانات والتجسس والتحكم عن بُعد وعمليات برامج الفدية ضمن إطار عمل واحد. وقد تشمل عواقب ذلك على الضحايا الاحتيال المالي، وسرقة الهوية، واختراق الحسابات، وانتهاكات الخصوصية، وتعطيل العمليات، وزيادة التعرض لهجمات إلكترونية ثانوية.
تنتشر برامج أندرويد الخبيثة، مثل SURXRAT، عادةً عبر تطبيقات خادعة موجودة على متاجر غير رسمية أو مواقع إلكترونية ضارة. ويُخفي المهاجمون هذه البرامج الخبيثة في كثير من الأحيان على هيئة تطبيقات شرعية، أو ألعاب مُعدّلة، أو برامج مقرصنة، أو تحديثات برمجية. وتشمل طرق التوزيع أيضًا روابط التصيّد الاحتيالي المرسلة عبر الرسائل النصية القصيرة، والبريد الإلكتروني، ووسائل التواصل الاجتماعي، ومنصات المراسلة. وفي حملات أخرى، يستغل المهاجمون ثغرات النظام أو ينشرون إعلانات خبيثة. وفي معظم الحالات، يعتمد نجاح الإصابة على تفاعل المستخدم الذي يُصرّح دون علمه بتشغيل التطبيق الخبيث.
