بدافزار SURXRAT

SURXRAT یک تروجان دسترسی از راه دور (RAT) پیشرفته اندروید است که تحت مدل بدافزار به عنوان سرویس (MaaS) از طریق یک پلتفرم مبتنی بر تلگرام توزیع می‌شود. تجزیه و تحلیل کد منبع و شباهت‌های عملکردی نشان می‌دهد که احتمالاً از Arsink RAT تکامل یافته است. SURXRAT که برای نفوذ به دستگاه‌های اندروید طراحی شده است، امکان سرقت گسترده داده‌ها، دستکاری دستگاه از راه دور و حتی قفل کردن کامل دستگاه را فراهم می‌کند.

مدل کسب و کار مجرمانه: طرح‌های نمایندگی فروش و مشارکت

SURXRAT از طریق دو سطح اشتراک پرداخت یک‌باره تجاری‌سازی می‌شود که هر کدام برای سطوح مختلف فعالیت‌های مجرمانه طراحی شده‌اند:

طرح نمایندگی فروش : اجازه می‌دهد تا سه بدافزار در روز ساخته شود و توزیع مجدد آن تحت قیمت تعیین شده توسط اپراتور امکان‌پذیر است.

طرح همکاری : اجازه ساخت تا ده پروژه در روز را می‌دهد و به خریداران اجازه می‌دهد شبکه‌های فروشندگان خود را ایجاد کنند.

هر دو بسته شامل ارتقاء رایگان سرور هستند که ماهیت ساختاریافته و مقیاس‌پذیر این اکوسیستم غیرقانونی را تقویت می‌کند.

گردش کار آلوده و سوءاستفاده از مجوزها

پس از اجرا، SURXRAT به شدت مجوزهای پرخطر، از جمله دسترسی به داده‌های موقعیت مکانی، مخاطبین، پیامک‌ها و فضای ذخیره‌سازی دستگاه را درخواست می‌کند. پس از اعطای مجوز، بدافزار از قربانی می‌خواهد که سرویس‌های دسترسی اندروید را فعال کند. این مرحله حیاتی به برنامه مخرب اجازه می‌دهد تا فعالیت‌های روی صفحه را رصد کرده و اقدامات خودکار را بدون آگاهی کاربر انجام دهد.

پس از کسب امتیازات لازم، SURXRAT اطلاعات گسترده‌ای از دستگاه، از جمله لیست مخاطبین، محتوای پیامک‌ها، گزارش‌های تماس، سازنده و مدل دستگاه، نسخه اندروید، میزان باتری، جزئیات سیم‌کارت، اطلاعات شبکه و آدرس IP عمومی را جمع‌آوری می‌کند. این بدافزار ضمن حفظ ارتباط با زیرساخت فرماندهی و کنترل (C2)، به طور مداوم در پس‌زمینه اجرا می‌شود. همچنین ماژول‌های اختصاصی مسئول نظارت، کنترل سیستم و برداشت داده‌ها را فعال می‌کند.

قابلیت‌های نظارت و استخراج داده‌ها

SURXRAT به اپراتورها امکان مشاهده‌ی گسترده‌ای از دستگاه‌های آلوده را می‌دهد. قابلیت‌های سرقت اطلاعات آن شامل دسترسی به پیامک‌ها، مخاطبین، گزارش‌های تماس، برنامه‌های نصب‌شده و اطلاعات دقیق سیستم است. این بدافزار همچنین می‌تواند داده‌های حساب Gmail را استخراج کند، موقعیت مکانی را به‌صورت بلادرنگ رصد کند و معیارهای شبکه و اتصال را جمع‌آوری کند.

ویژگی‌های نظارتی اضافی شامل رهگیری اعلان‌ها، نظارت بر کلیپ‌بورد و ردیابی تاریخچه مرورگر می‌شود. این بدافزار می‌تواند داده‌های دکل‌های تلفن همراه را ضبط کند، شبکه‌های وای‌فای موجود را اسکن کند، تاریخچه اتصالات را ثبت کند و از طریق یک مؤلفه مدیریت فایل یکپارچه به تمام فایل‌های دستگاه دسترسی پیدا کند.

دستکاری و اختلال دستگاه از راه دور

فراتر از جاسوسی، SURXRAT به مهاجمان کنترل کامل از راه دور بر روی دستگاه‌های آلوده را می‌دهد. قابلیت‌های آن شامل باز کردن قفل دستگاه، شروع تماس‌های تلفنی، تغییر تصاویر پس زمینه، پخش صدا، ایجاد تاخیر مصنوعی در شبکه، ارسال اعلان‌های فوری و مجبور کردن دستگاه به باز کردن وب‌سایت‌های مشخص شده است. همچنین می‌تواند چراغ قوه را فعال کند، لرزش ایجاد کند و متن دلخواه را روی صفحه نمایش دهد.

عملکردهای شدیدتر به اپراتورها این امکان را می‌دهد که دستگاه را با استفاده از پین دلخواه خود قفل کنند یا داده‌های ذخیره شده را به طور کامل پاک کنند. نسخه اخیر، مکانیزمی برای محدود کردن سرعت اینترنت ارائه می‌دهد که عمداً اتصال قربانی را کند می‌کند. این کار با شروع دانلود یک فایل حجیم میزبانی شده در Hugging Face انجام می‌شود. فرآیند دانلود به طور خودکار زمانی آغاز می‌شود که برنامه‌های بازی خاص، از جمله نسخه‌های ویژه Free Fire، فعال باشند یا زمانی که مهاجم برنامه‌های هدف جایگزین را از طریق سرور کنترل مشخص کند.

عملکرد داخلی باج‌افزار

SURXRAT دارای یک ویژگی قفل به سبک باج‌افزار است که یک پیام تمام صفحه را نمایش می‌دهد و دستگاه را با یک پین امن می‌کند. مهاجمان می‌توانند درخواست پرداخت کنند، تلاش‌های ورود پین نادرست را به صورت آنی رصد کنند و در صورت تمایل قفل را از راه دور باز کنند. چنین قابلیت‌هایی معمولاً برای اخاذی مالی مورد استفاده قرار می‌گیرند.

تأثیرات و پیامدهای امنیتی

SURXRAT به عنوان یک تهدید چندمنظوره اندرویدی، سرقت داده‌ها، جاسوسی، کنترل از راه دور و عملیات باج‌افزاری را در یک چارچوب واحد ترکیب می‌کند. عواقب آن برای قربانیان ممکن است شامل کلاهبرداری مالی، سرقت هویت، نفوذ به حساب کاربری، نقض حریم خصوصی، اختلال عملیاتی و افزایش قرار گرفتن در معرض حملات سایبری ثانویه باشد.

بدافزارهای اندرویدی مانند SURXRAT معمولاً از طریق برنامه‌های فریبنده‌ای که در بازارهای غیررسمی یا وب‌سایت‌های مخرب میزبانی می‌شوند، توزیع می‌شوند. عوامل تهدید اغلب بارهای داده را به عنوان برنامه‌های قانونی، بازی‌های اصلاح‌شده، نرم‌افزارهای کرک‌شده یا به‌روزرسانی‌های نرم‌افزاری پنهان می‌کنند. روش‌های تحویل همچنین شامل لینک‌های فیشینگ ارسال‌شده از طریق پیامک، ایمیل، رسانه‌های اجتماعی و پلتفرم‌های پیام‌رسان است. در سایر کمپین‌ها، مهاجمان از آسیب‌پذیری‌های سیستم سوءاستفاده می‌کنند یا تبلیغات مخرب را به کار می‌گیرند. در بیشتر موارد، آلودگی موفقیت‌آمیز به تعامل کاربر بستگی دارد که ناآگاهانه به برنامه مخرب اجازه اجرا می‌دهد.