SURXRAT ļaunprogrammatūra
SURXRAT ir sarežģīts Android attālās piekļuves Trojas zirgs (RAT), kas tiek izplatīts, izmantojot ļaunprogrammatūras kā pakalpojuma (MaaS) modeli, izmantojot Telegram platformu. Avota koda analīze un funkcionālās līdzības liecina, ka tas, visticamāk, ir attīstījies no Arsink RAT. SURXRAT ir izstrādāts, lai iekļūtu Android ierīcēs, un tas nodrošina plaša mēroga datu zādzības, attālinātu ierīču manipulāciju un pat pilnīgu ierīču bloķēšanu.
Satura rādītājs
Krimināls biznesa modelis: tālākpārdevēju un partneru shēmas
SURXRAT tiek komercializēts, izmantojot divus vienreizēja maksājuma abonēšanas līmeņus, katrs no tiem ir pielāgots dažādiem noziedzīgās darbības līmeņiem:
Tālākpārdevēja plāns : Atļauj līdz trim ļaunprogrammatūras versijām dienā un atļauj tālākizplatīšanu par operatora noteikto cenu.
Partneru plāns : ļauj veikt līdz desmit versijām dienā un pilnvaro pircējus izveidot savus tālākpārdevēju tīklus.
Abas pakotnes ietver bezmaksas serveru jauninājumus, kas pastiprina šīs nelegālās ekosistēmas strukturēto un mērogojamo raksturu.
Infekcijas darbplūsma un atļauju ļaunprātīga izmantošana
Pēc izpildes SURXRAT agresīvi pieprasa augsta riska atļaujas, tostarp piekļuvi atrašanās vietas datiem, kontaktpersonām, īsziņām un ierīces krātuvei. Kad tās ir piešķirtas, ļaunprogrammatūra aicina upuri iespējot Android pieejamības pakalpojumus. Šis svarīgais solis ļauj ļaunprātīgajai lietojumprogrammai uzraudzīt ekrāna aktivitātes un veikt automatizētas darbības bez lietotāja ziņas.
Pēc nepieciešamo privilēģiju nodrošināšanas SURXRAT apkopo plašu ierīces informāciju, tostarp kontaktu sarakstus, īsziņu saturu, zvanu žurnālus, ierīces ražotāju un modeli, Android versiju, akumulatora uzlādes līmeni, SIM kartes datus, tīkla informāciju un publisko IP adresi. Ļaunprogrammatūra uztur pastāvīgu darbību fonā, vienlaikus saglabājot saziņu ar savu vadības un kontroles (C2) infrastruktūru. Tā arī aktivizē īpašus moduļus, kas atbild par novērošanu, sistēmas kontroli un datu vākšanu.
Novērošanas un datu izvilkšanas iespējas
SURXRAT nodrošina operatoriem plašu ieskatu apdraudētajās ierīcēs. Tā datu zādzības iespējas ietver piekļuvi īsziņām, kontaktpersonām, zvanu žurnāliem, instalētajām lietojumprogrammām un detalizētai sistēmas informācijai. Ļaunprogrammatūra var arī iegūt Gmail konta datus, uzraudzīt atrašanās vietu reāllaikā un apkopot tīkla un savienojamības rādītājus.
Papildu uzraudzības funkcijas ietver paziņojumu pārtveršanu, starpliktuves uzraudzību un pārlūkošanas vēstures izsekošanu. Ļaunprogrammatūra var uztvert mobilo sakaru torņu datus, skenēt pieejamos Wi-Fi tīklus, reģistrēt savienojumu vēsturi un piekļūt visiem ierīces failiem, izmantojot integrētu failu pārvaldības komponentu.
Attālināta ierīču manipulācija un darbības traucējumi
Papildus spiegošanas darbībām SURXRAT piešķir uzbrucējiem pilnīgu attālinātu kontroli pār inficētām ierīcēm. Iespējas ietver ierīces atbloķēšanu, telefona zvanu veikšanu, fona attēlu mainīšanu, audio atskaņošanu, mākslīgas tīkla aiztures ģenerēšanu, push paziņojumu sūtīšanu un ierīces piespiešanu atvērt noteiktas tīmekļa vietnes. Tā var arī aktivizēt lukturīti, izraisīt vibrāciju un ekrānā parādīt pielāgotu tekstu.
Stingrākas funkcijas ļauj operatoriem bloķēt ierīci, izmantojot pašu izvēlētu PIN kodu, vai pilnībā izdzēst saglabātos datus. Jaunākā versija ievieš interneta ierobežošanas mehānismu, kas apzināti palēnina upura savienojumu. Tas tiek panākts, uzsākot liela faila lejupielādi, kas tiek mitināta vietnē Hugging Face. Lejupielādes process tiek automātiski aktivizēts, kad ir aktīvas noteiktas spēļu lietojumprogrammas, tostarp Free Fire speciālie izdevumi, vai kad uzbrucējs norāda alternatīvas mērķa lietojumprogrammas, izmantojot vadības serveri.
Iebūvēta izspiedējvīrusu funkcionalitāte
SURXRAT ietver izspiedējvīrusa stila bloķēšanas funkciju, kas parāda pilnekrāna ziņojumu un aizsargā ierīci ar PIN kodu. Uzbrucēji var pieprasīt maksājumu, reāllaikā uzraudzīt nepareizus PIN koda ievadīšanas mēģinājumus un, ja nepieciešams, attālināti noņemt bloķēšanu. Šādas iespējas bieži tiek izmantotas finansiālai izspiešanai.
Ietekme un drošības sekas
Kā daudzfunkcionāls Android apdraudējums, SURXRAT apvieno datu zādzības, spiegošanu, attālo kontroli un izspiedējvīrusu darbības vienā sistēmā. Sekas upuriem var ietvert finanšu krāpšanu, identitātes zādzību, konta kompromitēšanu, privātuma pārkāpumus, darbības traucējumus un paaugstinātu pakļautību sekundāriem kiberuzbrukumiem.
Android ļaunprogrammatūra, piemēram, SURXRAT, parasti tiek izplatīta, izmantojot maldinošas lietojumprogrammas, kas tiek mitinātas neoficiālās tirdzniecības vietās vai ļaunprātīgās vietnēs. Draudu izpildītāji bieži maskē vērtumus kā likumīgas lietojumprogrammas, modificētas spēles, uzlauztu programmatūru vai programmatūras atjauninājumus. Piegādes metodes ietver arī pikšķerēšanas saites, kas tiek nosūtītas, izmantojot īsziņas, e-pastu, sociālos medijus un ziņojumapmaiņas platformas. Citās kampaņās uzbrucēji izmanto sistēmas ievainojamības vai izvieto ļaunprātīgu reklāmu. Vairumā gadījumu veiksmīga inficēšana ir atkarīga no lietotāja mijiedarbības, kas neapzināti autorizē ļaunprātīgo lietojumprogrammu.
