SURXRAT 멀웨어
SURXRAT은 텔레그램 기반 플랫폼을 통해 서비스형 악성코드(MaaS) 방식으로 배포되는 정교한 안드로이드 원격 접속 트로이목마(RAT)입니다. 소스 코드 분석 및 기능적 유사성을 통해 SURXRAT이 Arsink RAT에서 진화했을 가능성이 높다는 것을 알 수 있습니다. 안드로이드 기기 침투를 위해 설계된 SURXRAT은 광범위한 데이터 탈취, 원격 기기 조작, 심지어 기기 전체 잠금까지 가능하게 합니다.
목차
범죄적 사업 모델: 재판매업자 및 파트너 제도
SURXRAT은 범죄 조직의 규모에 맞춰 설계된 두 가지 일회성 결제 구독 등급을 통해 상용화됩니다.
리셀러 플랜 : 하루 최대 3개의 악성코드 빌드를 허용하며, 운영자가 정한 가격으로 재배포할 수 있습니다.
파트너 플랜 : 하루 최대 10건의 빌드를 허용하며, 구매자가 자체 리셀러 네트워크를 구축할 수 있도록 승인합니다.
두 패키지 모두 무료 서버 업그레이드를 포함하고 있어, 이러한 불법 생태계의 체계적이고 확장 가능한 특성을 더욱 강화합니다.
감염 워크플로 및 권한 남용
SURXRAT은 실행 시 위치 데이터, 연락처, SMS 메시지 및 기기 저장소 접근 권한을 포함한 위험도가 높은 권한을 공격적으로 요청합니다. 이러한 권한이 승인되면 악성 프로그램은 사용자에게 안드로이드 접근성 서비스를 활성화하도록 요구합니다. 이 중요한 단계를 통해 악성 애플리케이션은 화면 활동을 감시하고 사용자가 인지하지 못하는 사이에 자동화된 작업을 수행할 수 있습니다.
SURXRAT은 필요한 권한을 확보한 후 연락처 목록, SMS 내용, 통화 기록, 기기 제조업체 및 모델, 안드로이드 버전, 배터리 잔량, SIM 카드 정보, 네트워크 정보, 공용 IP 주소 등 광범위한 기기 정보를 수집합니다. 이 악성 프로그램은 백그라운드에서 지속적으로 실행되면서 명령 및 제어(C2) 인프라와 통신을 유지합니다. 또한 감시, 시스템 제어 및 데이터 수집을 담당하는 전용 모듈을 활성화합니다.
감시 및 데이터 유출 기능
SURXRAT은 통신 사업자에게 감염된 기기에 대한 광범위한 가시성을 제공합니다. 이 악성 프로그램은 SMS 메시지, 연락처, 통화 기록, 설치된 애플리케이션 및 상세 시스템 정보에 대한 접근을 포함하여 다양한 데이터 탈취 기능을 제공합니다. 또한 Gmail 계정 데이터를 추출하고, 실시간 위치 정보를 모니터링하며, 네트워크 및 연결 상태 관련 지표를 수집할 수 있습니다.
추가적인 감시 기능에는 알림 가로채기, 클립보드 모니터링 및 브라우저 기록 추적이 포함됩니다. 이 악성 프로그램은 기지국 데이터를 수집하고, 사용 가능한 Wi-Fi 네트워크를 스캔하고, 연결 기록을 기록하며, 통합 파일 관리 구성 요소를 통해 장치의 모든 파일에 접근할 수 있습니다.
원격 장치 조작 및 방해
SURXRAT은 단순한 스파이 활동을 넘어 감염된 기기에 대한 완전한 원격 제어 권한을 공격자에게 부여합니다. 기기 잠금 해제, 전화 걸기, 배경화면 변경, 오디오 재생, 인위적인 네트워크 지연 발생, 푸시 알림 전송, 지정된 웹사이트 강제 실행 등이 가능합니다. 또한 손전등을 켜거나 진동을 발생시키고 화면에 사용자 지정 텍스트를 겹쳐 표시할 수도 있습니다.
더욱 강력한 기능은 공격자가 원하는 PIN을 사용하여 기기를 잠그거나 저장된 데이터를 완전히 삭제할 수 있도록 합니다. 최근 버전에서는 피해자의 인터넷 연결 속도를 의도적으로 저하시키는 인터넷 속도 제한 메커니즘이 도입되었습니다. 이는 Hugging Face에 호스팅된 대용량 파일을 다운로드하는 방식으로 이루어집니다. 다운로드 프로세스는 Free Fire 특별판을 포함한 특정 게임 애플리케이션이 실행 중이거나 공격자가 제어 서버를 통해 다른 대상 애플리케이션을 지정할 때 자동으로 시작됩니다.
내장형 랜섬웨어 기능
SURXRAT은 랜섬웨어와 유사한 잠금 기능을 포함하고 있으며, 전체 화면 메시지를 표시하고 PIN 번호로 기기를 보호합니다. 공격자는 금전적 요구를 하고, PIN 번호 오입력 시도를 실시간으로 모니터링하며, 원할 경우 원격으로 잠금을 해제할 수 있습니다. 이러한 기능은 일반적으로 금전적 갈취에 악용됩니다.
영향 및 보안상 의미
SURXRAT은 데이터 탈취, 스파이 활동, 원격 제어 및 랜섬웨어 공격을 하나의 프레임워크 내에서 결합한 다기능 안드로이드 위협입니다. 피해자는 금융 사기, 신원 도용, 계정 침해, 개인정보 유출, 업무 중단, 그리고 2차 사이버 공격에 대한 노출 증가 등의 피해를 입을 수 있습니다.
SURXRAT과 같은 안드로이드 악성코드는 일반적으로 비공식 마켓플레이스나 악성 웹사이트에 호스팅된 위장 애플리케이션을 통해 유포됩니다. 공격자들은 악성코드를 합법적인 애플리케이션, 변조된 게임, 크랙 소프트웨어 또는 소프트웨어 업데이트로 위장하는 경우가 많습니다. 또한 SMS, 이메일, 소셜 미디어 및 메시징 플랫폼을 통해 피싱 링크를 전송하는 방식도 사용됩니다. 다른 공격 방식에서는 시스템 취약점을 악용하거나 악성 광고를 배포하기도 합니다. 대부분의 경우, 사용자가 자신도 모르게 악성 애플리케이션 실행을 허용하는 상호 작용을 통해 감염이 성공합니다.
