Oprogramowanie złośliwe SURXRAT
SURXRAT to zaawansowany trojan zdalnego dostępu (RAT) dla systemu Android, rozpowszechniany w modelu malware-as-a-service (MaaS) za pośrednictwem platformy opartej na Telegramie. Analiza kodu źródłowego i podobieństwa funkcjonalne wskazują, że prawdopodobnie wyewoluował on z Arsink RAT. Zaprojektowany do infiltracji urządzeń z systemem Android, SURXRAT umożliwia rozległą kradzież danych, zdalną manipulację urządzeniami, a nawet ich całkowite zablokowanie.
Spis treści
Kryminalny model biznesowy: schematy resellerskie i partnerskie
SURXRAT jest komercjalizowany w ramach dwóch poziomów subskrypcji wymagających jednorazowej płatności, z których każdy jest dostosowany do innego poziomu przestępczości:
Plan resellerski : pozwala na instalację do trzech wersji złośliwego oprogramowania dziennie i umożliwia redystrybucję w ramach cen ustalonych przez operatora.
Plan partnerski : umożliwia tworzenie do dziesięciu kompilacji dziennie i upoważnia kupujących do tworzenia własnych sieci resellerów.
Oba pakiety obejmują bezpłatne ulepszenia serwerów, wzmacniające ustrukturyzowaną i skalowalną naturę tego nielegalnego ekosystemu.
Przepływ pracy związany z infekcją i nadużywanie uprawnień
Po uruchomieniu SURXRAT agresywnie żąda uprawnień wysokiego ryzyka, w tym dostępu do danych o lokalizacji, kontaktów, wiadomości SMS i pamięci urządzenia. Po ich udzieleniu, złośliwe oprogramowanie nakłania ofiarę do włączenia usług ułatwień dostępu Androida. Ten krytyczny krok pozwala złośliwej aplikacji monitorować aktywność na ekranie i wykonywać zautomatyzowane działania bez wiedzy użytkownika.
Po uzyskaniu wymaganych uprawnień, SURXRAT zbiera obszerne informacje o urządzeniu, w tym listy kontaktów, treści SMS-ów, rejestry połączeń, producenta i model urządzenia, wersję Androida, poziom naładowania baterii, dane karty SIM, informacje o sieci oraz publiczny adres IP. Szkodliwe oprogramowanie działa w tle, utrzymując jednocześnie komunikację z infrastrukturą dowodzenia i kontroli (C2). Aktywuje również dedykowane moduły odpowiedzialne za nadzór, kontrolę systemu i zbieranie danych.
Możliwości nadzoru i eksfiltracji danych
SURXRAT zapewnia operatorom szeroki wgląd w zainfekowane urządzenia. Jego możliwości kradzieży danych obejmują dostęp do wiadomości SMS, kontaktów, rejestrów połączeń, zainstalowanych aplikacji i szczegółowych informacji systemowych. Szkodliwe oprogramowanie może również pozyskiwać dane z konta Gmail, monitorować lokalizację w czasie rzeczywistym oraz gromadzić dane dotyczące sieci i łączności.
Dodatkowe funkcje nadzoru obejmują przechwytywanie powiadomień, monitorowanie schowka i śledzenie historii przeglądania. Szkodliwe oprogramowanie może przechwytywać dane z masztów komórkowych, skanować dostępne sieci Wi-Fi, rejestrować historię połączeń i uzyskiwać dostęp do wszystkich plików na urządzeniu za pośrednictwem zintegrowanego komponentu zarządzania plikami.
Zdalna manipulacja urządzeniami i zakłócanie ich działania
Poza szpiegostwem, SURXRAT zapewnia atakującym pełną zdalną kontrolę nad zainfekowanymi urządzeniami. Jego możliwości obejmują odblokowanie urządzenia, inicjowanie połączeń telefonicznych, zmianę tapet, odtwarzanie dźwięku, generowanie sztucznego opóźnienia sieci, wysyłanie powiadomień push i wymuszanie otwierania określonych stron internetowych na urządzeniu. Potrafi również aktywować latarkę, uruchamiać wibracje i nakładać na ekran niestandardowy tekst.
Bardziej zaawansowane funkcje umożliwiają operatorom zablokowanie urządzenia za pomocą wybranego kodu PIN lub całkowite usunięcie zapisanych danych. Najnowsza wersja wprowadza mechanizm ograniczania przepustowości łącza internetowego, który celowo spowalnia połączenie ofiary. Osiąga się to poprzez zainicjowanie pobierania ogromnego pliku hostowanego na Hugging Face. Proces pobierania jest uruchamiany automatycznie, gdy aktywne są określone aplikacje do gier, w tym specjalne edycje Free Fire, lub gdy atakujący określi alternatywne aplikacje docelowe za pośrednictwem serwera sterującego.
Wbudowana funkcjonalność Ransomware
SURXRAT zawiera funkcję blokady w stylu ransomware, która wyświetla komunikat na pełnym ekranie i zabezpiecza urządzenie kodem PIN. Atakujący mogą żądać zapłaty, monitorować nieprawidłowe próby podania kodu PIN w czasie rzeczywistym i zdalnie zdjąć blokadę, jeśli zajdzie taka potrzeba. Takie możliwości są powszechnie wykorzystywane do wymuszeń finansowych.
Wpływ i implikacje dla bezpieczeństwa
Jako wielofunkcyjne zagrożenie dla systemu Android, SURXRAT łączy w jednym systemie działania w zakresie kradzieży danych, szpiegostwa, zdalnego sterowania i ransomware. Konsekwencje dla ofiar mogą obejmować oszustwa finansowe, kradzież tożsamości, włamanie na konto, naruszenie prywatności, zakłócenia w działaniu systemu oraz zwiększone narażenie na wtórne cyberataki.
Szkodliwe oprogramowanie dla systemu Android, takie jak SURXRAT, jest powszechnie rozpowszechniane za pośrednictwem oszukańczych aplikacji hostowanych na nieoficjalnych platformach handlowych lub złośliwych stronach internetowych. Aktorzy często maskują szkodliwe oprogramowanie pod postacią legalnych aplikacji, zmodyfikowanych gier, zhakowanego oprogramowania lub aktualizacji oprogramowania. Metody dostarczania obejmują również linki phishingowe wysyłane za pośrednictwem wiadomości SMS, e-mail, mediów społecznościowych i komunikatorów. W innych kampaniach atakujący wykorzystują luki w zabezpieczeniach systemu lub rozsyłają złośliwe reklamy. W większości przypadków skuteczna infekcja zależy od interakcji użytkownika, która nieświadomie autoryzuje uruchomienie złośliwej aplikacji.
