Malware SURXRAT
SURXRAT è un sofisticato Trojan di accesso remoto (RAT) per Android, distribuito secondo un modello malware-as-a-service (MaaS) tramite una piattaforma basata su Telegram. L'analisi del codice sorgente e le somiglianze funzionali indicano che probabilmente si è evoluto da Arsink RAT. Progettato per infiltrarsi nei dispositivi Android, SURXRAT consente il furto di dati su larga scala, la manipolazione remota dei dispositivi e persino il blocco completo dei dispositivi.
Sommario
Modello di business criminale: schemi di rivenditori e partner
SURXRAT viene commercializzato attraverso due livelli di abbonamento con pagamento una tantum, ciascuno studiato su misura per diversi livelli di attività criminale:
Piano rivenditore : consente fino a tre build di malware al giorno e consente la ridistribuzione a un prezzo determinato dall'operatore.
Piano Partner : consente fino a dieci build al giorno e autorizza gli acquirenti a creare le proprie reti di rivenditori.
Entrambi i pacchetti includono aggiornamenti gratuiti del server, rafforzando la natura strutturata e scalabile di questo ecosistema illecito.
Flusso di lavoro di infezione e abuso di autorizzazioni
Una volta eseguito, SURXRAT richiede in modo aggressivo autorizzazioni ad alto rischio, tra cui l'accesso ai dati sulla posizione, ai contatti, ai messaggi SMS e all'archiviazione del dispositivo. Una volta concesse, il malware chiede alla vittima di abilitare i Servizi di Accessibilità Android. Questo passaggio critico consente all'applicazione dannosa di monitorare l'attività sullo schermo ed eseguire azioni automatiche all'insaputa dell'utente.
Dopo aver ottenuto i privilegi richiesti, SURXRAT raccoglie informazioni approfondite sul dispositivo, tra cui elenchi di contatti, contenuto degli SMS, registri delle chiamate, produttore e modello del dispositivo, versione di Android, livello della batteria, dettagli della scheda SIM, informazioni di rete e indirizzo IP pubblico. Il malware mantiene un'esecuzione in background persistente, supportando al contempo la comunicazione con la sua infrastruttura di Comando e Controllo (C2). Attiva inoltre moduli dedicati responsabili della sorveglianza, del controllo del sistema e della raccolta dati.
Capacità di sorveglianza e di esfiltrazione dei dati
SURXRAT offre agli operatori un'ampia visibilità sui dispositivi compromessi. Le sue capacità di furto di dati includono l'accesso a messaggi SMS, contatti, registri delle chiamate, applicazioni installate e informazioni dettagliate sul sistema. Il malware può anche estrarre dati dall'account Gmail, monitorare la posizione in tempo reale e raccogliere metriche di rete e connettività.
Ulteriori funzionalità di sorveglianza includono l'intercettazione delle notifiche, il monitoraggio degli appunti e il tracciamento della cronologia del browser. Il malware può catturare i dati delle torri cellulari, scansionare le reti Wi-Fi disponibili, registrare la cronologia delle connessioni e accedere a tutti i file sul dispositivo tramite un componente di gestione file integrato.
Manipolazione e interruzione di dispositivi remoti
Oltre allo spionaggio, SURXRAT garantisce agli aggressori il pieno controllo remoto dei dispositivi infetti. Le funzionalità includono lo sblocco del dispositivo, l'avvio di chiamate telefoniche, la modifica degli sfondi, la riproduzione di audio, la generazione di un ritardo di rete artificiale, l'invio di notifiche push e l'obbligo per il dispositivo di aprire siti web specifici. Può anche attivare la torcia, attivare la vibrazione e sovrapporre testo personalizzato sullo schermo.
Funzioni più avanzate consentono agli operatori di bloccare il dispositivo utilizzando un PIN a loro scelta o di cancellare completamente i dati memorizzati. Una versione recente introduce un meccanismo di limitazione della connessione Internet che rallenta deliberatamente la connessione della vittima. Questo viene ottenuto avviando il download di un file di grandi dimensioni ospitato su Hugging Face. Il processo di download viene attivato automaticamente quando sono attive determinate applicazioni di gioco, tra cui edizioni speciali di Free Fire, o quando l'aggressore specifica applicazioni di destinazione alternative tramite il server di controllo.
Funzionalità ransomware integrate
SURXRAT integra una funzionalità di blocco in stile ransomware che visualizza un messaggio a schermo intero e protegge il dispositivo con un PIN. Gli aggressori possono richiedere un pagamento, monitorare in tempo reale i tentativi di inserimento errato del PIN e, se lo desiderano, rimuovere il blocco da remoto. Tali funzionalità sono comunemente sfruttate a fini di estorsione finanziaria.
Impatto e implicazioni sulla sicurezza
In quanto minaccia multifunzionale per Android, SURXRAT combina furto di dati, spionaggio, controllo remoto e operazioni ransomware in un unico framework. Le conseguenze per le vittime possono includere frodi finanziarie, furto di identità, compromissione di account, violazioni della privacy, interruzione delle attività operative e maggiore esposizione ad attacchi informatici secondari.
Malware Android come SURXRAT vengono comunemente distribuiti tramite applicazioni ingannevoli ospitate su marketplace non ufficiali o siti web dannosi. Gli autori delle minacce spesso mascherano i payload come applicazioni legittime, giochi modificati, software craccato o aggiornamenti software. I metodi di distribuzione includono anche link di phishing inviati tramite SMS, e-mail, social media e piattaforme di messaggistica. In altre campagne, gli aggressori sfruttano vulnerabilità del sistema o distribuiscono pubblicità dannose. Nella maggior parte dei casi, il successo dell'infezione dipende dall'interazione dell'utente che autorizza inconsapevolmente l'esecuzione dell'applicazione dannosa.
