Škodlivý softvér SURXRAT
SURXRAT je sofistikovaný trójsky kôň pre vzdialený prístup k systému Android (RAT), distribuovaný v rámci modelu malware-as-a-service (MaaS) prostredníctvom platformy založenej na Telegrame. Analýza zdrojového kódu a funkčné podobnosti naznačujú, že sa pravdepodobne vyvinul z Arsink RAT. SURXRAT, navrhnutý tak, aby infiltroval zariadenia so systémom Android, umožňuje rozsiahle krádeže údajov, manipuláciu so zariadeniami na diaľku a dokonca aj úplné uzamknutie zariadenia.
Obsah
Zločinecký obchodný model: schémy predajcov a partnerov
SURXRAT sa komerčne ponúka prostredníctvom dvoch jednorazových platobných úrovní predplatného, pričom každá je prispôsobená rôznym úrovniam kriminálnej činnosti:
Plán pre predajcov : Povoľuje až tri zostavy škodlivého softvéru denne a umožňuje jeho redistribúciu za cenu určenú prevádzkovateľom.
Partnerský plán : Umožňuje až desať zostavení denne a oprávňuje kupujúcich na vytvorenie vlastných sietí predajcov.
Oba balíčky zahŕňajú bezplatné aktualizácie serverov, čím posilňujú štruktúrovanú a škálovateľnú povahu tohto nelegálneho ekosystému.
Pracovný postup infekcie a zneužívanie oprávnení
Po spustení SURXRAT agresívne požaduje vysoko rizikové povolenia vrátane prístupu k údajom o polohe, kontaktom, SMS správam a úložisku zariadenia. Po udelení malvéru vyzve obeť, aby povolila Služby prístupnosti systému Android. Tento kritický krok umožňuje škodlivej aplikácii monitorovať aktivitu na obrazovke a vykonávať automatizované akcie bez vedomia používateľa.
Po získaní požadovaných oprávnení SURXRAT zhromažďuje rozsiahle informácie o zariadení vrátane zoznamov kontaktov, obsahu SMS správ, protokolov hovorov, výrobcu a modelu zariadenia, verzie systému Android, úrovne nabitia batérie, údajov o SIM karte, informácií o sieti a verejnej IP adresy. Škodlivý softvér udržiava trvalé spustenie na pozadí a zároveň udržiava komunikáciu so svojou infraštruktúrou velenia a riadenia (C2). Aktivuje tiež špecializované moduly zodpovedné za dohľad, riadenie systému a zber údajov.
Možnosti dohľadu a exfiltrácie údajov
SURXRAT poskytuje operátorom široký prehľad o napadnutých zariadeniach. Jeho možnosti krádeže údajov zahŕňajú prístup k SMS správam, kontaktom, protokolom hovorov, nainštalovaným aplikáciám a podrobným systémovým informáciám. Malvér dokáže tiež extrahovať údaje z účtu Gmail, monitorovať polohu v reálnom čase a zhromažďovať metriky siete a pripojenia.
Ďalšie funkcie sledovania zahŕňajú zachytávanie upozornení, monitorovanie schránky a sledovanie histórie prehliadača. Malvér dokáže zachytávať údaje o mobilných vysielačoch, skenovať dostupné siete Wi-Fi, zaznamenávať históriu pripojenia a pristupovať ku všetkým súborom v zariadení prostredníctvom integrovaného komponentu správy súborov.
Manipulácia a narušenie zariadení na diaľku
Okrem špionáže poskytuje SURXRAT útočníkom plnú diaľkovú kontrolu nad infikovanými zariadeniami. Medzi jeho schopnosti patrí odomykanie zariadenia, iniciovanie telefonických hovorov, zmena tapiet, prehrávanie zvuku, generovanie umelého oneskorenia siete, odosielanie push notifikácií a nútené otváranie určených webových stránok zariadením. Dokáže tiež aktivovať baterku, spúšťať vibrácie a zobrazovať na obrazovke vlastný text.
Závažnejšie funkcie umožňujú operátorom uzamknúť zariadenie pomocou PIN kódu podľa vlastného výberu alebo úplne vymazať uložené údaje. Nedávna verzia zavádza mechanizmus obmedzovania pripojenia na internet, ktorý zámerne spomaľuje pripojenie obete. To sa dosahuje spustením sťahovania rozsiahleho súboru hostovaného na Hugging Face. Proces sťahovania sa spustí automaticky, keď sú aktívne určité herné aplikácie vrátane špeciálnych edícií Free Fire alebo keď útočník zadá alternatívne cieľové aplikácie prostredníctvom riadiaceho servera.
Vstavaná funkcia ransomvéru
SURXRAT obsahuje funkciu uzamknutia podobnú ransomvéru, ktorá zobrazuje správu na celej obrazovke a zabezpečuje zariadenie PIN kódom. Útočníci môžu požadovať platbu, monitorovať pokusy o nesprávne zadanie PIN kódu v reálnom čase a v prípade potreby na diaľku odstrániť zámok. Takéto funkcie sa bežne zneužívajú na finančné vydieranie.
Dopad a bezpečnostné dôsledky
Ako multifunkčná hrozba pre Android kombinuje SURXRAT krádež dát, špionáž, diaľkové ovládanie a operácie ransomvéru v rámci jedného rámca. Dôsledky pre obete môžu zahŕňať finančné podvody, krádež identity, kompromitáciu účtu, porušenia súkromia, narušenie prevádzky a zvýšené vystavenie sekundárnym kybernetickým útokom.
Malvér pre Android, ako napríklad SURXRAT, sa bežne šíri prostredníctvom klamlivých aplikácií hostovaných na neoficiálnych trhoviskách alebo škodlivých webových stránkach. Útočníci často maskujú užitočné dáta ako legitímne aplikácie, upravené hry, cracknutý softvér alebo aktualizácie softvéru. Medzi spôsoby doručenia patria aj phishingové odkazy odosielané prostredníctvom SMS, e-mailu, sociálnych médií a platforiem na zasielanie správ. V iných kampaniach útočníci zneužívajú zraniteľnosti systému alebo rozmiestňujú škodlivú reklamu. Vo väčšine prípadov závisí úspešná infekcia od interakcie používateľa, ktorý nevedomky autorizuje spustenie škodlivej aplikácie.
