SURXRAT Malware
SURXRAT është një Trojan i sofistikuar për qasje në distancë në Android (RAT) i shpërndarë sipas një modeli malware-as-a-service (MaaS) përmes një platforme të bazuar në Telegram. Analiza e kodit burimor dhe ngjashmëritë funksionale tregojnë se ka të ngjarë të ketë evoluar nga Arsink RAT. I projektuar për të depërtuar në pajisjet Android, SURXRAT mundëson vjedhje të gjerë të të dhënave, manipulim të pajisjeve në distancë dhe madje edhe bllokim të plotë të pajisjes.
Tabela e Përmbajtjes
Modeli i Biznesit Kriminal: Skemat e Rishitësve dhe Partnerëve
SURXRAT komercializohet përmes dy niveleve të abonimit me pagesë të vetme, secila e përshtatur për nivele të ndryshme të sipërmarrjes kriminale:
Plani i Rishitësit : Lejon deri në tre ndërtime të programeve keqdashëse në ditë dhe lejon rishpërndarjen sipas çmimeve të përcaktuara nga operatori.
Plani i Partneritetit : Lejon deri në dhjetë ndërtime në ditë dhe autorizon blerësit të krijojnë rrjetet e tyre të rishitësve.
Të dyja paketat përfshijnë përmirësime falas të serverëve, duke përforcuar natyrën e strukturuar dhe të shkallëzueshme të këtij ekosistemi të paligjshëm.
Fluksi i Punës së Infeksionit dhe Abuzimi i Lejeve
Pas ekzekutimit, SURXRAT kërkon në mënyrë agresive leje me rrezik të lartë, duke përfshirë aksesin në të dhënat e vendndodhjes, kontaktet, mesazhet SMS dhe hapësirën e ruajtjes së pajisjes. Pasi të jepet, programi keqdashës i kërkon viktimës të aktivizojë Shërbimet e Aksesueshmërisë në Android. Ky hap kritik i lejon aplikacionit keqdashës të monitorojë aktivitetin në ekran dhe të kryejë veprime të automatizuara pa dijeninë e përdoruesit.
Pas sigurimit të privilegjeve të kërkuara, SURXRAT mbledh inteligjencë të gjerë të pajisjes, duke përfshirë listat e kontakteve, përmbajtjen e SMS-ve, regjistrat e thirrjeve, prodhuesin dhe modelin e pajisjes, versionin Android, nivelin e baterisë, detajet e kartës SIM, informacionin e rrjetit dhe adresën publike IP. Malware ruan ekzekutimin e vazhdueshëm në sfond duke mbështetur komunikimin me infrastrukturën e tij të Komandës dhe Kontrollit (C2). Ai gjithashtu aktivizon module të dedikuara përgjegjëse për mbikëqyrjen, kontrollin e sistemit dhe mbledhjen e të dhënave.
Aftësitë e Mbikëqyrjes dhe Ekfiltrimit të të Dhënave
SURXRAT u ofron operatorëve dukshmëri të gjerë në pajisjet e kompromentuara. Aftësitë e tij për vjedhjen e të dhënave përfshijnë qasje në mesazhe SMS, kontakte, regjistra thirrjesh, aplikacione të instaluara dhe informacione të detajuara të sistemit. Malware gjithashtu mund të nxjerrë të dhëna të llogarisë Gmail, të monitorojë vendndodhjen në kohë reale dhe të mbledhë metrika të rrjetit dhe lidhjes.
Karakteristikat shtesë të mbikëqyrjes shtrihen në përgjimin e njoftimeve, monitorimin e kujtesës së të dhënave dhe gjurmimin e historikut të shfletuesit. Malware mund të kapë të dhënat e kullave celulare, të skanojë rrjetet WiFi të disponueshme, të regjistrojë historikun e lidhjeve dhe të hyjë në të gjitha skedarët në pajisje përmes një komponenti të integruar të menaxhimit të skedarëve.
Manipulimi dhe Ndërprerja e Pajisjeve në Distancë
Përtej spiunazhit, SURXRAT u jep sulmuesve kontroll të plotë në distancë mbi pajisjet e infektuara. Aftësitë përfshijnë zhbllokimin e pajisjes, nisjen e thirrjeve telefonike, ndryshimin e sfondeve, luajtjen e audios, gjenerimin e vonesës artificiale të rrjetit, dërgimin e njoftimeve push dhe detyrimin e pajisjes për të hapur faqet e internetit të caktuara. Gjithashtu mund të aktivizojë dritën e baterisë, të shkaktojë dridhje dhe të mbivendosë tekst të personalizuar në ekran.
Funksione më të rënda u mundësojnë operatorëve të bllokojnë pajisjen duke përdorur një PIN sipas zgjedhjes së tyre ose të fshijnë plotësisht të dhënat e ruajtura. Një version i kohëve të fundit prezanton një mekanizëm frenimi të internetit që ngadalëson qëllimisht lidhjen e viktimës. Kjo arrihet duke filluar shkarkimin e një skedari masiv të vendosur në Hugging Face. Procesi i shkarkimit aktivizohet automatikisht kur disa aplikacione lojërash, duke përfshirë botime speciale të Free Fire, janë aktive, ose kur sulmuesi specifikon aplikacione alternative të synuara përmes serverit të kontrollit.
Funksionaliteti i integruar i Ransomware-it
SURXRAT përfshin një funksion kyçjeje në stilin e ransomware që shfaq një mesazh në ekran të plotë dhe e siguron pajisjen me një PIN. Sulmuesit mund të kërkojnë pagesë, të monitorojnë përpjekjet e gabuara të futjes së PIN-it në kohë reale dhe ta heqin bllokimin nga distanca nëse dëshirojnë. Aftësi të tilla përdoren zakonisht për zhvatje financiare.
Ndikimi dhe Implikimet e Sigurisë
Si një kërcënim shumëfunksional për Android, SURXRAT kombinon vjedhjen e të dhënave, spiunazhin, kontrollin në distancë dhe operacionet e ransomware brenda një kuadri të vetëm. Pasojat për viktimat mund të përfshijnë mashtrim financiar, vjedhje identiteti, kompromentim llogarie, shkelje të privatësisë, ndërprerje operacionale dhe ekspozim në rritje ndaj sulmeve kibernetike sekondare.
Malware-i për Android, siç është SURXRAT, shpërndahet zakonisht përmes aplikacioneve mashtruese të vendosura në tregje jozyrtare ose faqe interneti keqdashëse. Aktorët kërcënues shpesh i maskojnë ngarkesat si aplikacione legjitime, lojëra të modifikuara, softuer të hakuar ose përditësime softuerësh. Metodat e shpërndarjes përfshijnë gjithashtu lidhje phishing të dërguara përmes SMS, email-it, mediave sociale dhe platformave të mesazheve. Në fushata të tjera, sulmuesit shfrytëzojnë dobësitë e sistemit ose vendosin reklama keqdashëse. Në shumicën e rasteve, infeksioni i suksesshëm varet nga ndërveprimi i përdoruesit që pa vetëdije autorizon aplikacionin keqdashës të ekzekutohet.
