SURXRAT kenkėjiška programa
„SURXRAT“ yra sudėtingas nuotolinės prieigos „Android“ Trojos arklys (RAT), platinamas naudojant kenkėjiškų programų kaip paslaugos (MaaS) modelį per „Telegram“ platformą. Šaltinio kodo analizė ir funkciniai panašumai rodo, kad jis greičiausiai išsivystė iš „Arsink RAT“. Sukurtas įsiskverbti į „Android“ įrenginius, „SURXRAT“ leidžia vykdyti didelio masto duomenų vagystes, nuotolinį įrenginių manipuliavimą ir net visišką įrenginių užrakinimą.
Turinys
Nusikalstamas verslo modelis: perpardavėjų ir partnerių schemos
SURXRAT komercializuojama per du vienkartinio mokėjimo prenumeratos lygius, kurių kiekvienas pritaikytas skirtingiems nusikalstamos veiklos lygiams:
Perpardavėjo planas : Leidžiama sukurti iki trijų kenkėjiškų programų versijų per dieną ir platinti pagal operatoriaus nustatytą kainą.
Partnerio planas : Leidžia atlikti iki dešimties projektų per dieną ir suteikia pirkėjams teisę kurti savo perpardavėjų tinklus.
Abu paketai apima nemokamus serverių atnaujinimus, sustiprinančius struktūrizuotą ir keičiamo dydžio šios neteisėtos ekosistemos pobūdį.
Užkrėtimo darbo eiga ir piktnaudžiavimas leidimais
Vykdydama programą, SURXRAT agresyviai prašo didelės rizikos leidimų, įskaitant prieigą prie vietos duomenų, kontaktų, SMS žinučių ir įrenginio saugyklos. Gavusi leidimus, kenkėjiška programa paragina auką įjungti „Android“ pritaikymo neįgaliesiems paslaugas. Šis svarbus žingsnis leidžia kenkėjiškai programai stebėti ekrane vykstančius veiksmus ir atlikti automatinius veiksmus be vartotojo žinios.
Gavusi reikiamas teises, „SURXRAT“ renka išsamią įrenginio žvalgybos informaciją, įskaitant kontaktų sąrašus, SMS turinį, skambučių žurnalus, įrenginio gamintoją ir modelį, „Android“ versiją, akumuliatoriaus lygį, SIM kortelės duomenis, tinklo informaciją ir viešąjį IP adresą. Kenkėjiška programa nuolat veikia fone, palaikydama ryšį su savo komandų ir kontrolės (C2) infrastruktūra. Ji taip pat aktyvuoja specialius modulius, atsakingus už stebėjimą, sistemos valdymą ir duomenų rinkimą.
Stebėjimo ir duomenų išgavimo galimybės
„SURXRAT“ suteikia operatoriams platų matomumą į pažeistus įrenginius. Jos duomenų vagystės galimybės apima prieigą prie SMS žinučių, kontaktų, skambučių žurnalų, įdiegtų programų ir išsamios sistemos informacijos. Kenkėjiška programa taip pat gali išgauti „Gmail“ paskyros duomenis, stebėti buvimo vietą realiuoju laiku ir rinkti tinklo bei ryšio metriką.
Papildomos stebėjimo funkcijos apima pranešimų perėmimą, iškarpinės stebėjimą ir naršymo istorijos sekimą. Kenkėjiška programa gali fiksuoti mobiliojo ryšio bokštų duomenis, nuskaityti galimus „Wi-Fi“ tinklus, registruoti ryšio istoriją ir pasiekti visus įrenginyje esančius failus naudodama integruotą failų valdymo komponentą.
Nuotolinis įrenginio manipuliavimas ir sutrikdymas
Be šnipinėjimo, „SURXRAT“ suteikia užpuolikams visišką nuotolinę užkrėstų įrenginių kontrolę. Galimybės apima įrenginio atrakinimą, telefono skambučių inicijavimą, fono paveikslėlių keitimą, garso atkūrimą, dirbtinio tinklo delsos generavimą, tiesioginių pranešimų siuntimą ir įrenginio priverstinį atidarymą nurodytose svetainėse. Ji taip pat gali įjungti žibintuvėlį, vibraciją ir ekrane rodyti pasirinktinį tekstą.
Griežtesnės funkcijos leidžia operatoriams užrakinti įrenginį naudojant pasirinktą PIN kodą arba visiškai ištrinti saugomus duomenis. Naujausioje versijoje pristatomas interneto ryšio ribojimo mechanizmas, kuris sąmoningai sulėtina aukos ryšį. Tai pasiekiama inicijuojant didelio failo, talpinamo „Hugging Face“, atsisiuntimą. Atsisiuntimo procesas automatiškai suaktyvinamas, kai aktyvios tam tikros žaidimų programos, įskaitant specialius „Free Fire“ leidimus, arba kai užpuolikas per valdymo serverį nurodo alternatyvias tikslines programas.
Integruota išpirkos reikalaujančių programų funkcija
„SURXRAT“ turi išpirkos reikalaujančios programinės įrangos tipo užrakinimo funkciją, kuri rodo viso ekrano pranešimą ir apsaugo įrenginį PIN kodu. Užpuolikai gali reikalauti mokėjimo, realiuoju laiku stebėti neteisingus PIN kodo įvedimo bandymus ir, jei pageidaujama, nuotoliniu būdu pašalinti užraktą. Tokios galimybės dažnai naudojamos finansiniam turto prievartavimui.
Poveikis ir saugumo pasekmės
Būdama daugiafunkcine „Android“ grėsme, „SURXRAT“ vienoje sistemoje apjungia duomenų vagystes, šnipinėjimą, nuotolinį valdymą ir išpirkos reikalaujančių programų operacijas. Pasekmės aukoms gali būti finansinis sukčiavimas, tapatybės vagystė, paskyros pažeidimas, privatumo pažeidimai, veiklos sutrikimai ir didesnė rizika susirgti antrinėmis kibernetinėmis atakomis.
Tokia „Android“ kenkėjiška programa kaip „SURXRAT“ dažniausiai platinama per apgaulingas programas, talpinamas neoficialiose prekyvietėse arba kenkėjiškose svetainėse. Grėsmių kūrėjai dažnai maskuoja naudingąją informaciją kaip teisėtas programas, modifikuotus žaidimus, nulaužtą programinę įrangą arba programinės įrangos atnaujinimus. Pristatymo būdai taip pat apima sukčiavimo nuorodas, siunčiamas SMS žinutėmis, el. paštu, socialiniuose tinkluose ir pranešimų platformose. Kitose kampanijose užpuolikai išnaudoja sistemos pažeidžiamumus arba naudoja kenkėjišką reklamą. Daugeliu atvejų sėkmingas užkrėtimas priklauso nuo vartotojo sąveikos, kuri nesąmoningai leidžia vykdyti kenkėjišką programą.
