SURXRAT злонамерни софтвер
SURXRAT је софистицирани Андроид тројански кон (RAT) за даљински приступ, дистрибуиран по моделу малвера као услуге (MaaS) преко платформе засноване на Телеграму. Анализа изворног кода и функционалне сличности указују на то да је вероватно еволуирао из Arsink RAT-а. Дизајниран да инфилтрира Андроид уређаје, SURXRAT омогућава опсежну крађу података, даљинску манипулацију уређајима, па чак и потпуно закључавање уређаја.
Преглед садржаја
Криминални пословни модел: Шеме препродаваца и партнера
SURXRAT се комерцијализује кроз два нивоа једнократне претплате, сваки прилагођен различитим нивоима криминалног подухвата:
План за препродавце : Дозвољава до три верзије злонамерног софтвера дневно и омогућава редистрибуцију по ценама које одређује оператер.
Партнерски план : Дозвољава до десет израда дневно и овлашћује купце да успоставе сопствене мреже препродаваца.
Оба пакета укључују бесплатне надоградње сервера, јачајући структурирану и скалабилну природу овог илегалног екосистема.
Ток рада инфекције и злоупотреба дозвола
Након извршавања, SURXRAT агресивно захтева дозволе високог ризика, укључујући приступ подацима о локацији, контактима, SMS порукама и меморији уређаја. Када се одобре, злонамерни софтвер подстиче жртву да омогући Android Accessibility Services. Овај кључни корак омогућава злонамерној апликацији да прати активности на екрану и обавља аутоматизоване радње без свесности корисника.
Након што обезбеди потребне привилегије, SURXRAT прикупља опсежне информације о уређају, укључујући листе контаката, садржај СМС порука, евиденцију позива, произвођача и модел уређаја, верзију Андроида, ниво батерије, детаље о СИМ картици, информације о мрежи и јавну ИП адресу. Злонамерни софтвер одржава стално извршавање у позадини док одржава комуникацију са својом командно-контролном (C2) инфраструктуром. Такође активира наменске модуле одговорне за надзор, контролу система и прикупљање података.
Могућности надзора и извлачења података
SURXRAT пружа оператерима широк увид у угрожене уређаје. Његове могућности крађе података укључују приступ SMS порукама, контактима, евиденцији позива, инсталираним апликацијама и детаљним системским информацијама. Злонамерни софтвер такође може да издвоји податке Gmail налога, прати локацију у реалном времену и прикупља метрике мреже и повезаности.
Додатне функције надзора обухватају пресретање обавештења, праћење међуспремника и праћење историје прегледача. Злонамерни софтвер може да снима податке мобилних предајника, скенира доступне WiFi мреже, евидентира историју веза и приступа свим датотекама на уређају путем интегрисане компоненте за управљање датотекама.
Манипулација и ометање удаљених уређаја
Поред шпијунаже, SURXRAT даје нападачима потпуну даљинску контролу над зараженим уређајима. Могућности укључују откључавање уређаја, покретање телефонских позива, промену позадина, репродукцију звука, генерисање вештачког кашњења мреже, слање push обавештења и присиљавање уређаја да отвара одређене веб странице. Такође може да активира батеријску лампу, покрене вибрацију и прикаже прилагођени текст на екрану.
Озбиљније функције омогућавају оператерима да закључају уређај помоћу ПИН-а по свом избору или потпуно обришу сачуване податке. Новија верзија уводи механизам за ограничавање интернет везе који намерно успорава везу жртве. Ово се постиже покретањем преузимања огромне датотеке која се налази на Hugging Face-у. Процес преузимања се аутоматски покреће када су активне одређене апликације за игре, укључујући посебна издања Free Fire-а, или када нападач наведе алтернативне циљне апликације преко контролног сервера.
Уграђена функционалност за заштиту од рансомвера
SURXRAT укључује функцију закључавања у стилу ransomware-а која приказује поруку преко целог екрана и обезбеђује уређај PIN-ом. Нападачи могу захтевати плаћање, пратити покушаје погрешног уноса PIN-а у реалном времену и даљински уклонити закључавање ако желе. Такве могућности се често користе за финансијску изнуду.
Утицај и безбедносне импликације
Као мултифункционална претња за Андроид, SURXRAT комбинује крађу података, шпијунажу, даљинско управљање и операције рансомвера у једном оквиру. Последице за жртве могу укључивати финансијске преваре, крађу идентитета, компромитовање налога, кршење приватности, оперативне поремећаје и повећану изложеност секундарним сајбер нападима.
Злонамерни софтвер за Андроид, као што је SURXRAT, обично се дистрибуира путем обмањујућих апликација које се налазе на незваничним тржиштима или злонамерним веб-сајтовима. Претње често маскирају корисне садржаје као легитимне апликације, модификоване игре, крековани софтвер или ажурирања софтвера. Методе испоруке такође укључују фишинг линкове послате путем СМС-а, е-поште, друштвених медија и платформи за размену порука. У другим кампањама, нападачи искоришћавају системске рањивости или постављају злонамерно оглашавање. У већини случајева, успешна инфекција зависи од интеракције корисника која несвесно овлашћује злонамерну апликацију да се изврши.
