Malware SURXRAT
O SURXRAT é um sofisticado Trojan de acesso remoto (RAT) para Android, distribuído sob um modelo de malware como serviço (MaaS) por meio de uma plataforma baseada no Telegram. A análise do código-fonte e as semelhanças funcionais indicam que ele provavelmente evoluiu do Arsink RAT. Projetado para infiltrar dispositivos Android, o SURXRAT permite roubo extensivo de dados, manipulação remota do dispositivo e até mesmo o bloqueio completo do mesmo.
Índice
Modelo de negócio criminoso: esquemas de revenda e parcerias
O SURXRAT é comercializado através de dois planos de assinatura com pagamento único, cada um adaptado a diferentes níveis de organização criminosa:
Plano de revenda : Permite até três versões de malware por dia e autoriza a redistribuição mediante preço determinado pela operadora.
Plano de Parceiro : Permite até dez criações por dia e autoriza os compradores a estabelecerem suas próprias redes de revendedores.
Ambos os pacotes incluem atualizações de servidor gratuitas, reforçando a natureza estruturada e escalável desse ecossistema ilícito.
Fluxo de trabalho de infecção e abuso de permissões
Após a execução, o SURXRAT solicita agressivamente permissões de alto risco, incluindo acesso a dados de localização, contatos, mensagens SMS e armazenamento do dispositivo. Uma vez concedidas, o malware induz a vítima a ativar os Serviços de Acessibilidade do Android. Essa etapa crucial permite que o aplicativo malicioso monitore a atividade na tela e execute ações automatizadas sem o conhecimento do usuário.
Após obter os privilégios necessários, o SURXRAT coleta informações detalhadas sobre o dispositivo, incluindo listas de contatos, conteúdo de SMS, registros de chamadas, fabricante e modelo do dispositivo, versão do Android, nível da bateria, detalhes do cartão SIM, informações de rede e endereço IP público. O malware mantém execução persistente em segundo plano enquanto mantém comunicação com sua infraestrutura de Comando e Controle (C2). Ele também ativa módulos dedicados responsáveis por vigilância, controle do sistema e coleta de dados.
Capacidades de vigilância e exfiltração de dados
O SURXRAT oferece aos operadores ampla visibilidade dos dispositivos comprometidos. Suas capacidades de roubo de dados incluem acesso a mensagens SMS, contatos, registros de chamadas, aplicativos instalados e informações detalhadas do sistema. O malware também pode extrair dados de contas do Gmail, monitorar a localização em tempo real e coletar métricas de rede e conectividade.
Os recursos adicionais de vigilância incluem a interceptação de notificações, o monitoramento da área de transferência e o rastreamento do histórico do navegador. O malware pode capturar dados de torres de celular, verificar redes Wi-Fi disponíveis, registrar históricos de conexão e acessar todos os arquivos do dispositivo por meio de um componente integrado de gerenciamento de arquivos.
Manipulação e Interrupção Remota de Dispositivos
Além da espionagem, o SURXRAT concede aos atacantes controle remoto total sobre os dispositivos infectados. As funcionalidades incluem desbloquear o dispositivo, iniciar chamadas telefônicas, alterar papéis de parede, reproduzir áudio, gerar atraso artificial na rede, enviar notificações push e forçar o dispositivo a abrir sites específicos. Ele também pode ativar a lanterna, acionar a vibração e sobrepor texto personalizado na tela.
Funções mais graves permitem que os operadores bloqueiem o dispositivo usando um PIN de sua escolha ou apaguem completamente os dados armazenados. Uma versão recente introduziu um mecanismo de limitação de internet que reduz deliberadamente a velocidade da conexão da vítima. Isso é conseguido iniciando o download de um arquivo enorme hospedado no Hugging Face. O processo de download é acionado automaticamente quando certos aplicativos de jogos, incluindo edições especiais do Free Fire, estão ativos, ou quando o atacante especifica aplicativos-alvo alternativos por meio do servidor de controle.
Funcionalidade integrada de proteção contra ransomware
O SURXRAT incorpora um recurso de bloqueio semelhante ao de ransomware, que exibe uma mensagem em tela cheia e protege o dispositivo com um PIN. Os atacantes podem exigir pagamento, monitorar tentativas incorretas de inserção do PIN em tempo real e remover o bloqueio remotamente, se desejarem. Essas funcionalidades são comumente exploradas para extorsão financeira.
Impacto e implicações de segurança
Como uma ameaça multifuncional para Android, o SURXRAT combina roubo de dados, espionagem, controle remoto e operações de ransomware em uma única estrutura. As consequências para as vítimas podem incluir fraude financeira, roubo de identidade, comprometimento de contas, violações de privacidade, interrupção operacional e maior exposição a ataques cibernéticos secundários.
Malwares para Android, como o SURXRAT, são comumente distribuídos por meio de aplicativos enganosos hospedados em lojas de aplicativos não oficiais ou sites maliciosos. Os agentes de ameaças frequentemente disfarçam seus payloads como aplicativos legítimos, jogos modificados, softwares crackeados ou atualizações de software. Os métodos de distribuição também incluem links de phishing enviados por SMS, e-mail, redes sociais e plataformas de mensagens. Em outras campanhas, os atacantes exploram vulnerabilidades do sistema ou implantam publicidade maliciosa. Na maioria dos casos, a infecção bem-sucedida depende da interação do usuário, que, sem saber, autoriza a execução do aplicativo malicioso.
