Zlonamjerni softver SURXRAT
SURXRAT je sofisticirani Android trojanac za udaljeni pristup (RAT) koji se distribuira putem modela zlonamjernog softvera kao usluge (MaaS) putem platforme temeljene na Telegramu. Analiza izvornog koda i funkcionalne sličnosti ukazuju na to da se vjerojatno razvio iz Arsink RAT-a. Dizajniran za infiltraciju u Android uređaje, SURXRAT omogućuje opsežnu krađu podataka, manipulaciju uređajima na daljinu, pa čak i potpuno zaključavanje uređaja.
Sadržaj
Kriminalni poslovni model: Preprodavači i partnerske sheme
SURXRAT se komercijalizuje putem dvije razine jednokratne pretplate, svaka prilagođena različitim razinama kriminalnog pothvata:
Plan za preprodavače : Dopušta do tri verzije zlonamjernog softvera dnevno i omogućuje distribuciju po cijenama koje određuje operater.
Partnerski plan : Omogućuje do deset izrada dnevno i ovlašćuje kupce da uspostave vlastite mreže preprodavača.
Oba paketa uključuju besplatne nadogradnje servera, jačajući strukturiranu i skalabilnu prirodu ovog ilegalnog ekosustava.
Tijek rada zaraze i zlouporaba dozvola
Nakon izvršavanja, SURXRAT agresivno zahtijeva visokorizična dopuštenja, uključujući pristup podacima o lokaciji, kontaktima, SMS porukama i pohrani uređaja. Nakon što im se odobri, zlonamjerni softver potiče žrtvu da omogući Usluge pristupačnosti Androida. Ovaj ključni korak omogućuje zlonamjernoj aplikaciji praćenje aktivnosti na zaslonu i izvršavanje automatiziranih radnji bez znanja korisnika.
Nakon što osigura potrebne privilegije, SURXRAT prikuplja opsežne podatke o uređaju, uključujući popise kontakata, sadržaj SMS-ova, zapisnike poziva, proizvođača i model uređaja, verziju Androida, razinu baterije, detalje SIM kartice, informacije o mreži i javnu IP adresu. Zlonamjerni softver održava trajno pozadinsko izvršavanje dok održava komunikaciju sa svojom infrastrukturom za upravljanje i kontrolu (C2). Također aktivira namjenske module odgovorne za nadzor, kontrolu sustava i prikupljanje podataka.
Mogućnosti nadzora i izvlačenja podataka
SURXRAT pruža operaterima širok uvid u kompromitirane uređaje. Njegove mogućnosti krađe podataka uključuju pristup SMS porukama, kontaktima, zapisnicima poziva, instaliranim aplikacijama i detaljnim informacijama o sustavu. Zlonamjerni softver također može izdvojiti podatke Gmail računa, pratiti lokaciju u stvarnom vremenu i prikupljati metrike mreže i povezivosti.
Dodatne značajke nadzora protežu se na presretanje obavijesti, praćenje međuspremnika i praćenje povijesti preglednika. Zlonamjerni softver može snimati podatke mobilnih tornjeva, skenirati dostupne WiFi mreže, bilježiti povijest veza i pristupiti svim datotekama na uređaju putem integrirane komponente za upravljanje datotekama.
Manipulacija i ometanje udaljenih uređaja
Osim špijunaže, SURXRAT napadačima daje potpunu daljinsku kontrolu nad zaraženim uređajima. Mogućnosti uključuju otključavanje uređaja, pokretanje telefonskih poziva, promjenu pozadina, reprodukciju zvuka, generiranje umjetnog mrežnog kašnjenja, slanje push obavijesti i prisiljavanje uređaja da otvara određene web stranice. Također može aktivirati svjetiljku, pokrenuti vibraciju i prikazati prilagođeni tekst na zaslonu.
Ozbiljnije funkcije omogućuju operaterima zaključavanje uređaja pomoću PIN-a po vlastitom izboru ili potpuno brisanje pohranjenih podataka. Novija verzija uvodi mehanizam za ograničavanje internetske veze koji namjerno usporava vezu žrtve. To se postiže pokretanjem preuzimanja ogromne datoteke smještene na Hugging Faceu. Proces preuzimanja automatski se pokreće kada su aktivne određene aplikacije za igre, uključujući posebna izdanja Free Firea, ili kada napadač odredi alternativne ciljne aplikacije putem kontrolnog poslužitelja.
Ugrađena funkcionalnost zaštite od ransomwarea
SURXRAT uključuje značajku zaključavanja u stilu ransomwarea koja prikazuje poruku preko cijelog zaslona i osigurava uređaj PIN-om. Napadači mogu zahtijevati plaćanje, pratiti pokušaje netočnog unosa PIN-a u stvarnom vremenu i daljinski ukloniti zaključavanje ako žele. Takve se mogućnosti često koriste za financijsku iznudu.
Utjecaj i sigurnosne implikacije
Kao multifunkcionalna Android prijetnja, SURXRAT kombinira krađu podataka, špijunažu, daljinsko upravljanje i ransomware operacije unutar jednog okvira. Posljedice za žrtve mogu uključivati financijsku prijevaru, krađu identiteta, kompromitiranje računa, kršenje privatnosti, operativne poremećaje i povećanu izloženost sekundarnim kibernetičkim napadima.
Zlonamjerni softver za Android poput SURXRAT-a obično se distribuira putem obmanjujućih aplikacija smještenih na neslužbenim tržištima ili zlonamjernim web stranicama. Akteri prijetnji često prikrivaju korisne sadržaje kao legitimne aplikacije, modificirane igre, crackirani softver ili ažuriranja softvera. Metode isporuke također uključuju phishing poveznice poslane putem SMS-a, e-pošte, društvenih mreža i platformi za razmjenu poruka. U drugim kampanjama napadači iskorištavaju ranjivosti sustava ili postavljaju zlonamjerno oglašavanje. U većini slučajeva, uspješna infekcija ovisi o interakciji korisnika koji nesvjesno ovlašćuje zlonamjernu aplikaciju za izvršavanje.
