Зловреден софтуер SURXRAT
SURXRAT е сложен троянски кон за отдалечен достъп до Android (RAT), разпространяван по модел „злонамерен кон като услуга“ (MaaS) чрез платформа, базирана на Telegram. Анализът на изходния код и функционалните сходства показват, че вероятно е еволюирал от Arsink RAT. Проектиран да прониква в устройства с Android, SURXRAT позволява мащабна кражба на данни, дистанционна манипулация на устройства и дори пълно заключване на устройства.
Съдържание
Престъпен бизнес модел: Схеми за дистрибуция и партньорство
SURXRAT се комерсиализира чрез две нива на абонамент с еднократно плащане, всяко от които е съобразено с различни нива на престъпна дейност:
План за дистрибутор : Позволява до три компилации на зловреден софтуер на ден и позволява разпространение по цени, определени от оператора.
Партньорски план : Позволява до десет компилации на ден и упълномощава купувачите да създават свои собствени мрежи от дистрибутори.
И двата пакета включват безплатни надстройки на сървъра, подсилвайки структурирания и мащабируем характер на тази незаконна екосистема.
Работен процес на заразяване и злоупотреба с разрешения
След изпълнение, SURXRAT агресивно изисква разрешения с висок риск, включително достъп до данни за местоположение, контакти, SMS съобщения и хранилище на устройството. След като бъдат предоставени, зловредният софтуер подканва жертвата да активира услугите за достъпност на Android. Тази критична стъпка позволява на злонамереното приложение да наблюдава активността на екрана и да извършва автоматизирани действия без знанието на потребителя.
След като си осигури необходимите привилегии, SURXRAT събира обширна информация за устройството, включително списъци с контакти, SMS съдържание, дневници на повиквания, производител и модел на устройството, версия на Android, ниво на батерията, данни за SIM картата, мрежова информация и публичен IP адрес. Зловредният софтуер поддържа постоянно фоново изпълнение, като същевременно поддържа комуникация със своята инфраструктура за командване и контрол (C2). Той също така активира специални модули, отговорни за наблюдение, системен контрол и събиране на данни.
Възможности за наблюдение и извличане на данни
SURXRAT предоставя на операторите широка видимост върху компрометираните устройства. Възможностите му за кражба на данни включват достъп до SMS съобщения, контакти, дневници на повиквания, инсталирани приложения и подробна системна информация. Зловредният софтуер може също да извлича данни от акаунти в Gmail, да следи местоположението в реално време и да събира показатели за мрежата и свързаността.
Допълнителните функции за наблюдение включват прихващане на известия, наблюдение на клипборда и проследяване на историята на браузъра. Зловредният софтуер може да събира данни от клетъчни кули, да сканира наличните WiFi мрежи, да регистрира историята на връзките и да осъществява достъп до всички файлове на устройството чрез интегриран компонент за управление на файлове.
Манипулиране и прекъсване на отдалечени устройства
Освен шпионаж, SURXRAT предоставя на нападателите пълен дистанционен контрол над заразените устройства. Възможностите включват отключване на устройството, иницииране на телефонни разговори, промяна на тапети, възпроизвеждане на аудио, генериране на изкуствено мрежово забавяне, изпращане на push известия и принуждаване на устройството да отваря определени уебсайтове. Той може също така да активира фенерчето, да задейства вибрация и да наслагва персонализиран текст върху екрана.
По-сериозните функции позволяват на операторите да заключат устройството с избран от тях ПИН код или напълно да изтрият съхранените данни. Последната версия въвежда механизъм за ограничаване на интернет връзката, който умишлено забавя връзката на жертвата. Това се постига чрез иницииране на изтеглянето на масивен файл, хостван на Hugging Face. Процесът на изтегляне се задейства автоматично, когато определени игрови приложения, включително специални издания на Free Fire, са активни или когато нападателят посочи алтернативни целеви приложения чрез контролния сървър.
Вградена функционалност за защита от рансъмуер
SURXRAT включва функция за заключване, подобна на ransomware, която показва съобщение на цял екран и защитава устройството с ПИН код. Нападателите могат да изискват плащане, да наблюдават неправилни опити за въвеждане на ПИН код в реално време и дистанционно да премахнат заключването, ако желаят. Такива възможности често се използват за финансово изнудване.
Въздействие и последици за сигурността
Като многофункционална заплаха за Android, SURXRAT комбинира кражба на данни, шпионаж, дистанционно управление и операции с ransomware в рамките на една рамка. Последиците за жертвите могат да включват финансови измами, кражба на самоличност, компрометиране на акаунти, нарушения на поверителността, оперативни смущения и повишена изложеност на вторични кибератаки.
Зловредният софтуер за Android, като SURXRAT, обикновено се разпространява чрез измамни приложения, хоствани на неофициални пазари или злонамерени уебсайтове. Злонамерените лица често маскират полезните товари като легитимни приложения, модифицирани игри, кракнат софтуер или софтуерни актуализации. Методите за доставка включват също фишинг връзки, изпращани чрез SMS, имейл, социални медии и платформи за съобщения. В други кампании нападателите използват системни уязвимости или внедряват злонамерена реклама. В повечето случаи успешното заразяване зависи от взаимодействието на потребителя, който несъзнателно разрешава изпълнението на злонамереното приложение.
