Вредоносная программа SURXRAT
SURXRAT — это сложный троян для удаленного доступа к Android, распространяемый по модели «вредоносное ПО как услуга» (MaaS) через платформу на основе Telegram. Анализ исходного кода и функциональное сходство указывают на то, что он, вероятно, произошел от Arsink RAT. Разработанный для проникновения в устройства Android, SURXRAT позволяет осуществлять масштабную кражу данных, удаленное управление устройством и даже полную блокировку устройства.
Оглавление
Преступная бизнес-модель: схемы перепродажи и партнерства.
SURXRAT коммерциализируется через два уровня подписки с разовой оплатой, каждый из которых адаптирован для разных уровней преступной деятельности:
План для реселлеров : разрешает создание до трех сборок вредоносного ПО в день и позволяет распространять его по ценам, определяемым оператором.
Партнерский план : позволяет выполнять до десяти сборок в день и дает покупателям право создавать собственные сети реселлеров.
Оба пакета включают бесплатное обновление серверов, что укрепляет структурированный и масштабируемый характер этой незаконной экосистемы.
Процесс заражения и злоупотребление правами доступа
При запуске SURXRAT агрессивно запрашивает разрешения высокого риска, включая доступ к данным о местоположении, контактам, SMS-сообщениям и памяти устройства. После получения разрешения вредоносная программа предлагает жертве включить службы специальных возможностей Android. Этот критически важный шаг позволяет вредоносному приложению отслеживать действия на экране и выполнять автоматизированные действия без ведома пользователя.
Получив необходимые привилегии, SURXRAT собирает обширную информацию об устройстве, включая списки контактов, содержимое SMS-сообщений, журналы вызовов, производителя и модель устройства, версию Android, уровень заряда батареи, данные SIM-карты, информацию о сети и публичный IP-адрес. Вредоносная программа постоянно работает в фоновом режиме, поддерживая связь со своей системой управления и контроля (C2). Она также активирует специальные модули, отвечающие за наблюдение, управление системой и сбор данных.
Возможности наблюдения и утечки данных
SURXRAT предоставляет операторам широкий обзор скомпрометированных устройств. Его возможности по краже данных включают доступ к SMS-сообщениям, контактам, журналам звонков, установленным приложениям и подробной информации о системе. Вредоносная программа также может извлекать данные из учетных записей Gmail, отслеживать местоположение в режиме реального времени и собирать сетевые и коммуникационные метрики.
Дополнительные функции слежки включают перехват уведомлений, мониторинг буфера обмена и отслеживание истории браузера. Вредоносная программа может перехватывать данные сотовых вышек, сканировать доступные сети Wi-Fi, записывать историю подключений и получать доступ ко всем файлам на устройстве через встроенный компонент управления файлами.
Дистанционное управление устройствами и их нарушение работы
Помимо шпионажа, SURXRAT предоставляет злоумышленникам полный удаленный контроль над зараженными устройствами. Возможности включают разблокировку устройства, совершение телефонных звонков, изменение обоев, воспроизведение аудио, создание искусственной задержки сети, отправку push-уведомлений и принудительное открытие указанных веб-сайтов. Также он может включать фонарик, запускать вибрацию и накладывать на экран пользовательский текст.
Более строгие функции позволяют операторам блокировать устройство с помощью выбранного ими PIN-кода или полностью удалять сохраненные данные. В последней версии реализован механизм ограничения скорости интернета, который намеренно замедляет соединение жертвы. Это достигается путем инициирования загрузки большого файла, размещенного на Hugging Face. Процесс загрузки автоматически запускается при активации определенных игровых приложений, включая специальные версии Free Fire, или когда злоумышленник указывает альтернативные целевые приложения через управляющий сервер.
Встроенная функция защиты от программ-вымогателей
SURXRAT использует функцию блокировки, аналогичную программам-вымогателям, которая отображает сообщение на весь экран и защищает устройство с помощью PIN-кода. Злоумышленники могут требовать выкуп, отслеживать попытки ввода неверного PIN-кода в режиме реального времени и удаленно снимать блокировку при необходимости. Такие возможности часто используются для финансового вымогательства.
Влияние и последствия для безопасности
SURXRAT — многофункциональная угроза для Android, объединяющая в себе кражу данных, шпионаж, удаленное управление и операции по вымогательству. Последствия для жертв могут включать финансовое мошенничество, кражу личных данных, компрометацию учетных записей, нарушение конфиденциальности, сбои в работе и повышенную уязвимость для вторичных кибератак.
Вредоносные программы для Android, такие как SURXRAT, обычно распространяются через обманные приложения, размещенные на неофициальных торговых площадках или вредоносных веб-сайтах. Злоумышленники часто маскируют вредоносные программы под легитимные приложения, модифицированные игры, взломанное программное обеспечение или обновления ПО. Методы распространения также включают фишинговые ссылки, отправляемые через SMS, электронную почту, социальные сети и мессенджеры. В других кампаниях злоумышленники используют уязвимости системы или размещают вредоносную рекламу. В большинстве случаев успешное заражение зависит от взаимодействия пользователя, который неосознанно разрешает запуск вредоносного приложения.
