SURXRAT pahavara
SURXRAT on keerukas Androidi kaugjuurdepääsu troojalane (RAT), mida levitatakse pahavara-teenusena (MaaS) mudeli alusel Telegram-põhise platvormi kaudu. Lähtekoodi analüüs ja funktsionaalsed sarnasused näitavad, et see arenes tõenäoliselt välja Arsink RAT-ist. SURXRAT, mis on loodud Android-seadmetesse tungimiseks, võimaldab ulatuslikku andmevargust, seadmete kaugmanipuleerimist ja isegi seadmete täielikku lukustamist.
Sisukord
Kuritegelik ärimudel: edasimüüjate ja partnerlusskeemid
SURXRATi turustatakse kahe ühekordse maksega tellimustaseme kaudu, millest igaüks on kohandatud kuritegeliku tegevuse erinevatele tasanditele:
Edasimüüja plaan : Lubab kuni kolm pahavara versiooni päevas ja võimaldab edasijaotust operaatori määratud hinna alusel.
Partneriplaan : võimaldab kuni kümme ehitust päevas ja annab ostjatele õiguse luua oma edasimüüjate võrgustikke.
Mõlemad paketid sisaldavad tasuta serveriuuendusi, mis tugevdavad selle ebaseadusliku ökosüsteemi struktureeritud ja skaleeritavat olemust.
Nakatumise töövoog ja lubade kuritarvitamine
Käivitamisel küsib SURXRAT agressiivselt kõrge riskiga lube, sealhulgas juurdepääsu asukohaandmetele, kontaktidele, SMS-sõnumitele ja seadme salvestusruumile. Kui need on antud, palub pahavara ohvril lubada Androidi ligipääsetavuse teenused. See kriitiline samm võimaldab pahatahtlikul rakendusel jälgida ekraanil toimuvat tegevust ja teha kasutaja teadmata automatiseeritud toiminguid.
Pärast vajalike õiguste hankimist kogub SURXRAT ulatuslikku seadmeinfot, sealhulgas kontaktide loendeid, SMS-ide sisu, kõnelogisid, seadme tootjat ja mudelit, Androidi versiooni, aku taset, SIM-kaardi andmeid, võrguteavet ja avalikku IP-aadressi. Pahavara jätkab pidevat taustal töötamist, säilitades samal ajal suhtlust oma juhtimis- ja juhtimisinfrastruktuuriga (C2). Samuti aktiveerib see spetsiaalseid mooduleid, mis vastutavad jälgimise, süsteemi juhtimise ja andmete kogumise eest.
Jälgimis- ja andmete väljaviimise võimalused
SURXRAT pakub operaatoritele laiaulatuslikku ülevaadet ohustatud seadmetest. Selle andmevarguse võimete hulka kuulub juurdepääs SMS-sõnumitele, kontaktidele, kõnelogidele, installitud rakendustele ja üksikasjalikule süsteemiteabele. Pahavara suudab ka hankida Gmaili konto andmeid, jälgida asukohta reaalajas ning koguda võrgu- ja ühenduvusnäitajaid.
Täiendavad jälgimisfunktsioonid hõlmavad teavituste pealtkuulamist, lõikelaua jälgimist ja brauseriajaloo jälgimist. Pahavara suudab jäädvustada mobiilsidemasti andmeid, skannida saadaolevaid WiFi-võrke, logida ühenduste ajalugu ja pääseda juurde kõigile seadmes olevatele failidele integreeritud failihalduskomponendi kaudu.
Seadme kaugjuhtimine ja häirimine
Lisaks spionaažile annab SURXRAT ründajatele nakatunud seadmete üle täieliku kaugjuhtimise. Võimaluste hulka kuuluvad seadme avamine, telefonikõnede algatamine, taustapiltide muutmine, heli esitamine, kunstliku võrgu viivituse tekitamine, push-teavituste saatmine ja seadme sundimine teatud veebisaite avama. Samuti saab see aktiveerida taskulambi, käivitada vibratsiooni ja kuvada ekraanile kohandatud teksti.
Tõsisemad funktsioonid võimaldavad operaatoritel seadet lukustada valitud PIN-koodi abil või salvestatud andmed täielikult kustutada. Uuem versioon tutvustab internetiühenduse piiramise mehhanismi, mis aeglustab tahtlikult ohvri ühendust. See saavutatakse Hugging Face'is majutatud tohutu faili allalaadimise algatamise teel. Allalaadimisprotsess käivitub automaatselt, kui teatud mängurakendused, sealhulgas Free Fire'i eriväljaanded, on aktiivsed või kui ründaja määrab juhtserveri kaudu alternatiivsed sihtrakendused.
Sisseehitatud lunavara funktsionaalsus
SURXRAT sisaldab lunavaralaadset lukustusfunktsiooni, mis kuvab täisekraanil teate ja kaitseb seadet PIN-koodiga. Ründajad saavad nõuda makset, jälgida vale PIN-koodi sisestamise katseid reaalajas ja soovi korral luku eemalt eemaldada. Selliseid võimalusi kasutatakse tavaliselt rahaliseks väljapressimiseks.
Mõju ja turvalisusega seotud tagajärjed
Multifunktsionaalse Androidi ohuna ühendab SURXRAT andmevarguse, spionaaži, kaugjuhtimise ja lunavaraoperatsioonid ühes raamistikus. Ohvrite jaoks võivad tagajärjed hõlmata finantspettusi, identiteedivargust, kontode ohtu sattumist, privaatsuse rikkumisi, tegevuse katkemist ja suurenenud kokkupuudet teiseste küberrünnakutega.
Androidi pahavara, näiteks SURXRAT, levitatakse tavaliselt petturlike rakenduste kaudu, mis asuvad mitteametlikel turuplatsidel või pahatahtlikel veebisaitidel. Ohtlikud isikud varjavad sageli kasulikku sisu seaduslike rakenduste, muudetud mängude, krüptitud tarkvara või tarkvarauuenduste kujul. Edastusmeetodite hulka kuuluvad ka andmepüügilingid, mis saadetakse SMS-i, e-posti, sotsiaalmeedia ja sõnumsideplatvormide kaudu. Teistes kampaaniates kasutavad ründajad ära süsteemi haavatavusi või levitavad pahatahtlikku reklaami. Enamasti sõltub edukas nakatumine kasutaja interaktsioonist, mis teadmatult annab pahatahtlikule rakendusele loa käivitamiseks.
