תוכנה זדונית של SURXRAT
SURXRAT הוא טרויאני מתוחכם לגישה מרחוק (RAT) לאנדרואיד, המופץ תחת מודל של תוכנה זדונית כשירות (MaaS) דרך פלטפורמה מבוססת טלגרם. ניתוח קוד המקור ודמיון פונקציונלי מצביעים על כך שהוא ככל הנראה התפתח מ-Arsink RAT. SURXRAT, שנועד לחדור למכשירי אנדרואיד, מאפשר גניבת נתונים נרחבת, מניפולציה מרחוק של מכשירים ואפילו נעילה מלאה של מכשירים.
תוכן העניינים
מודל עסקי פלילי: תוכניות משווקים ושותפים
SURXRAT מופץ באמצעות שתי שכבות מנוי בתשלום חד פעמי, כל אחת מותאמת לרמות שונות של ארגון פשיעה:
תוכנית משווקים : מאפשרת עד שלוש בניית תוכנות זדוניות ביום ומאפשרת הפצה מחדש במחיר שנקבע על ידי המפעיל.
תוכנית שותפים : מאפשרת עד עשר בניות ביום ומאפשרת לקונים להקים רשתות משווקים משלהם.
שתי החבילות כוללות שדרוגי שרת בחינם, מה שמחזק את האופי המובנה והמדרגי של מערכת אקולוגית לא חוקית זו.
זרימת עבודה של זיהום וניצול לרעה של הרשאות
לאחר ההפעלה, SURXRAT מבקש באופן אגרסיבי הרשאות בעלות סיכון גבוה, כולל גישה לנתוני מיקום, אנשי קשר, הודעות SMS ואחסון במכשיר. לאחר מתן הרשאות אלו, התוכנה הזדונית מבקשת מהקורבן להפעיל את שירותי הנגישות של אנדרואיד. שלב קריטי זה מאפשר לאפליקציה הזדונית לנטר פעילות על המסך ולבצע פעולות אוטומטיות ללא מודעות המשתמש.
לאחר אבטחת ההרשאות הנדרשות, SURXRAT אוספת מידע מודיעיני נרחב על המכשיר, כולל רשימות אנשי קשר, תוכן SMS, יומני שיחות, יצרן ודגם המכשיר, גרסת אנדרואיד, רמת סוללה, פרטי כרטיס SIM, פרטי רשת וכתובת IP ציבורית. הנוזקה שומרת על ביצועים מתמשכים ברקע תוך שמירה על תקשורת עם תשתית הפיקוד והשליטה (C2) שלה. היא גם מפעילה מודולים ייעודיים האחראים על מעקב, בקרת מערכת ואיסוף נתונים.
יכולות מעקב וחילוץ נתונים
SURXRAT מספקת למפעילים נראות רחבה על מכשירים שנפרצו. יכולות גניבת הנתונים שלה כוללות גישה להודעות SMS, אנשי קשר, יומני שיחות, יישומים מותקנים ומידע מפורט על המערכת. התוכנה הזדונית יכולה גם לחלץ נתוני חשבון Gmail, לנטר מיקום בזמן אמת ולאסוף מדדי רשת וקישוריות.
תכונות מעקב נוספות כוללות יירוט התראות, ניטור לוח כתיבה ומעקב אחר היסטוריית דפדפן. התוכנה הזדונית יכולה ללכוד נתוני אנטנת סלולר, לסרוק רשתות WiFi זמינות, לתעד היסטוריית חיבורים ולגשת לכל הקבצים במכשיר באמצעות רכיב ניהול קבצים משולב.
מניפולציה ושיבוש של מכשירים מרחוק
מעבר לריגול, SURXRAT מעניקה לתוקפים שליטה מרחוק מלאה על מכשירים נגועים. היכולות כוללות פתיחת המכשיר, ביצוע שיחות טלפון, שינוי טפטים, השמעת אודיו, יצירת השהיית רשת מלאכותית, שליחת התראות דחיפה ואילוץ המכשיר לפתוח אתרים ספציפיים. היא יכולה גם להפעיל את הפנס, להפעיל רטט ולכסות טקסט מותאם אישית על המסך.
פונקציות חמורות יותר מאפשרות למפעילים לנעול את המכשיר באמצעות קוד סודי לבחירתם או למחוק לחלוטין נתונים מאוחסנים. גרסה עדכנית מציגה מנגנון ויסות אינטרנט שמאט במכוון את החיבור של הקורבן. זה מושג על ידי התחלת הורדה של קובץ ענק המתארח ב-Hugging Face. תהליך ההורדה מופעל אוטומטית כאשר יישומי משחקים מסוימים, כולל מהדורות מיוחדות של Free Fire, פעילות, או כאשר התוקף מציין יישומי יעד חלופי דרך שרת הבקרה.
פונקציונליות מובנית של תוכנות כופר
SURXRAT משלבת תכונת נעילה בסגנון תוכנת כופר המציגה הודעה במסך מלא ומאבטחת את המכשיר באמצעות קוד סודי. תוקפים יכולים לדרוש תשלום, לנטר ניסיונות הזנת קוד סודי שגויים בזמן אמת, ולהסיר את המנעול מרחוק במידת הצורך. יכולות כאלה מנוצלות בדרך כלל לסחיטה כספית.
השפעה והשלכות ביטחוניות
כאיום רב-תכליתי על אנדרואיד, SURXRAT משלבת גניבת נתונים, ריגול, שליטה מרחוק ופעולות כופר במסגרת אחת. ההשלכות על הקורבנות עשויות לכלול הונאה פיננסית, גניבת זהות, פריצת חשבונות, הפרות פרטיות, שיבושים תפעוליים וחשיפה מוגברת להתקפות סייבר משניות.
תוכנות זדוניות לאנדרואיד כמו SURXRAT מופצות בדרך כלל באמצעות אפליקציות מטעות המתארחות בשווקים לא רשמיים או באתרים זדוניים. גורמי איום מסווים לעתים קרובות מטענים כאפליקציות לגיטימיות, משחקים שהשתנו, תוכנה פרוצה או עדכוני תוכנה. שיטות המסירה כוללות גם קישורי פישינג הנשלחים באמצעות SMS, דוא"ל, מדיה חברתית ופלטפורמות העברת הודעות. בקמפיינים אחרים, תוקפים מנצלים פגיעויות במערכת או פורסים פרסום זדוני. ברוב המקרים, הדבקה מוצלחת תלויה באינטראקציה של המשתמש שמאשרת, מבלי דעת, לאפליקציה הזדונית לפעול.
