Zlonamerna programska oprema SURXRAT
SURXRAT je sofisticiran trojanski konj za oddaljeni dostop do Androida (RAT), ki se distribuira po modelu zlonamerne programske opreme kot storitve (MaaS) prek platforme, ki temelji na Telegramu. Analiza izvorne kode in funkcionalne podobnosti kažejo, da se je verjetno razvil iz Arsink RAT. SURXRAT, zasnovan za infiltracijo v naprave Android, omogoča obsežno krajo podatkov, oddaljeno manipulacijo naprav in celo popolno zaklepanje naprav.
Kazalo
Kriminalni poslovni model: Sheme preprodajalcev in partnerjev
SURXRAT se komercializira prek dveh enkratnih naročniških stopenj, od katerih je vsaka prilagojena različnim ravnem kriminalnega delovanja:
Načrt za preprodajalce : Dovoljuje do tri različice zlonamerne programske opreme na dan in omogoča ponovno distribucijo po cenah, ki jih določi operater.
Partnerski načrt : Omogoča do deset gradenj na dan in kupcem dovoljuje vzpostavitev lastnih omrežij preprodajalcev.
Oba paketa vključujeta brezplačne nadgradnje strežnikov, kar krepi strukturirano in prilagodljivo naravo tega nezakonitega ekosistema.
Potek dela okužbe in zloraba dovoljenj
Ob zagonu SURXRAT agresivno zahteva dovoljenja z visokim tveganjem, vključno z dostopom do podatkov o lokaciji, stikov, SMS sporočil in shrambe naprave. Ko so dovoljenja odobrena, zlonamerna programska oprema žrtev pozove, naj omogoči storitve dostopnosti Android. Ta ključni korak omogoča zlonamerni aplikaciji spremljanje dejavnosti na zaslonu in izvajanje avtomatiziranih dejanj brez uporabnikovega zavedanja.
Po pridobitvi zahtevanih privilegijev SURXRAT zbira obsežne podatke o napravi, vključno s seznami stikov, vsebino SMS-ov, dnevniki klicev, proizvajalcem in modelom naprave, različico Androida, stopnjo napolnjenosti baterije, podatki o kartici SIM, omrežnimi informacijami in javnim naslovom IP. Zlonamerna programska oprema vzdržuje stalno delovanje v ozadju, hkrati pa ohranja komunikacijo s svojo infrastrukturo vodenja in nadzora (C2). Aktivira tudi namenske module, odgovorne za nadzor, upravljanje sistema in zbiranje podatkov.
Zmogljivosti nadzora in izkopavanja podatkov
SURXRAT operaterjem omogoča širok vpogled v ogrožene naprave. Njegove zmogljivosti kraje podatkov vključujejo dostop do SMS sporočil, stikov, dnevnikov klicev, nameščenih aplikacij in podrobnih sistemskih informacij. Zlonamerna programska oprema lahko tudi pridobi podatke o Gmail računu, spremlja lokacijo v realnem času ter zbira meritve omrežja in povezljivosti.
Dodatne funkcije nadzora vključujejo prestrezanje obvestil, spremljanje odložišča in sledenje zgodovini brskalnika. Zlonamerna programska oprema lahko zajema podatke o mobilnih oddajnikih, skenira razpoložljiva omrežja WiFi, beleži zgodovino povezav in dostopa do vseh datotek v napravi prek integrirane komponente za upravljanje datotek.
Oddaljena manipulacija in motnje naprav
Poleg vohunjenja SURXRAT napadalcem omogoča popoln oddaljeni nadzor nad okuženimi napravami. Med njegovimi zmogljivostmi so odklepanje naprave, vzpostavljanje telefonskih klicev, spreminjanje ozadij, predvajanje zvoka, ustvarjanje umetnega omrežnega zamika, pošiljanje potisnih obvestil in prisiljevanje naprave k odpiranju določenih spletnih mest. Prav tako lahko aktivira svetilko, sproži vibracijo in na zaslonu prikaže besedilo po meri.
Resnejše funkcije omogočajo operaterjem, da zaklenejo napravo z izbrano PIN-kodo ali popolnoma izbrišejo shranjene podatke. Novejša različica uvaja mehanizem za dušenje internetne povezave, ki namerno upočasni povezavo žrtve. To se doseže z začetkom prenosa ogromne datoteke, ki gostuje na Hugging Face. Postopek prenosa se samodejno sproži, ko so aktivne določene igralne aplikacije, vključno s posebnimi izdajami Free Fire, ali ko napadalec prek nadzornega strežnika določi alternativne ciljne aplikacije.
Vgrajena funkcionalnost izsiljevalske programske opreme
SURXRAT vključuje funkcijo zaklepanja, podobno izsiljevalski programski opremi, ki prikaže sporočilo na celotnem zaslonu in napravo zavaruje s PIN-om. Napadalci lahko zahtevajo plačilo, v realnem času spremljajo poskuse napačnega vnosa PIN-a in po želji na daljavo odstranijo ključavnico. Takšne zmogljivosti se pogosto izkoriščajo za finančno izsiljevanje.
Vpliv in varnostne posledice
Kot večnamenska grožnja za Android SURXRAT združuje krajo podatkov, vohunjenje, daljinski nadzor in operacije izsiljevalske programske opreme v enem samem okviru. Posledice za žrtve lahko vključujejo finančne goljufije, krajo identitete, ogrožanje računov, kršitve zasebnosti, motnje v delovanju in večjo izpostavljenost sekundarnim kibernetskim napadom.
Zlonamerna programska oprema za Android, kot je SURXRAT, se pogosto širi prek zavajajočih aplikacij, ki gostujejo na neuradnih tržnicah ali zlonamernih spletnih mestih. Grožnje pogosto prikrivajo koristne tokove kot legitimne aplikacije, spremenjene igre, razpokano programsko opremo ali posodobitve programske opreme. Načini dostave vključujejo tudi lažne povezave, poslane prek SMS-ov, e-pošte, družbenih medijev in platform za sporočanje. V drugih kampanjah napadalci izkoriščajo ranljivosti sistema ali uporabljajo zlonamerno oglaševanje. V večini primerov je uspešna okužba odvisna od interakcije uporabnika, ki nevede pooblasti zlonamerno aplikacijo za izvajanje.
