มัลแวร์ SURXRAT
SURXRAT เป็นมัลแวร์โทรจันสำหรับเข้าถึงอุปกรณ์ Android จากระยะไกล (RAT) ที่มีความซับซ้อนสูง เผยแพร่ผ่านโมเดลบริการมัลแวร์ (MaaS) โดยใช้แพลตฟอร์ม Telegram การวิเคราะห์ซอร์สโค้ดและความคล้ายคลึงกันทางฟังก์ชันบ่งชี้ว่ามันน่าจะพัฒนามาจาก Arsink RAT SURXRAT ออกแบบมาเพื่อแทรกซึมเข้าไปในอุปกรณ์ Android ทำให้สามารถขโมยข้อมูล ควบคุมอุปกรณ์จากระยะไกล และแม้กระทั่งล็อกอุปกรณ์ได้อย่างสมบูรณ์
สารบัญ
รูปแบบธุรกิจอาชญากรรม: แผนการตัวแทนจำหน่ายและพันธมิตร
SURXRAT วางจำหน่ายในรูปแบบการสมัครสมาชิกแบบชำระเงินครั้งเดียว 2 ระดับ โดยแต่ละระดับได้รับการออกแบบมาให้เหมาะสมกับระดับขององค์กรอาชญากรรมที่แตกต่างกัน:
แผนตัวแทนจำหน่าย : อนุญาตให้สร้างมัลแวร์ได้สูงสุดสามเวอร์ชันต่อวัน และอนุญาตให้เผยแพร่ต่อได้ในราคาที่ผู้ให้บริการกำหนด
แผนพันธมิตร : อนุญาตให้สร้างได้สูงสุดสิบรายการต่อวัน และอนุญาตให้ผู้ซื้อสร้างเครือข่ายตัวแทนจำหน่ายของตนเองได้
ทั้งสองแพ็กเกจมีการอัปเกรดเซิร์ฟเวอร์ให้ฟรี ซึ่งช่วยเสริมสร้างโครงสร้างและความสามารถในการขยายขนาดของระบบนิเวศที่ผิดกฎหมายนี้
ขั้นตอนการติดเชื้อและการละเมิดสิทธิ์
เมื่อเริ่มทำงาน SURXRAT จะขอสิทธิ์การเข้าถึงข้อมูลที่มีความเสี่ยงสูงอย่างรุนแรง รวมถึงข้อมูลตำแหน่งที่ตั้ง รายชื่อผู้ติดต่อ ข้อความ SMS และพื้นที่จัดเก็บข้อมูลของอุปกรณ์ เมื่อได้รับอนุญาตแล้ว มัลแวร์จะแจ้งให้เหยื่อเปิดใช้งานบริการการเข้าถึงของ Android ขั้นตอนนี้สำคัญมาก เพราะจะทำให้แอปพลิเคชันที่เป็นอันตรายสามารถตรวจสอบกิจกรรมบนหน้าจอและดำเนินการโดยอัตโนมัติโดยที่ผู้ใช้ไม่รู้ตัว
หลังจากได้รับสิทธิ์ที่จำเป็นแล้ว SURXRAT จะรวบรวมข้อมูลอุปกรณ์อย่างละเอียด รวมถึงรายชื่อผู้ติดต่อ เนื้อหา SMS บันทึกการโทร ผู้ผลิตและรุ่นของอุปกรณ์ เวอร์ชัน Android ระดับแบตเตอรี่ รายละเอียดซิมการ์ด ข้อมูลเครือข่าย และที่อยู่ IP สาธารณะ มัลแวร์จะทำงานอยู่เบื้องหลังอย่างต่อเนื่องในขณะที่รักษาการสื่อสารกับโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) นอกจากนี้ยังเปิดใช้งานโมดูลเฉพาะที่รับผิดชอบในการเฝ้าระวัง การควบคุมระบบ และการเก็บรวบรวมข้อมูล
ความสามารถในการเฝ้าระวังและดึงข้อมูลออกไป
SURXRAT ช่วยให้ผู้ให้บริการเข้าถึงข้อมูลอุปกรณ์ที่ถูกโจมตีได้อย่างครอบคลุม ความสามารถในการขโมยข้อมูลของมันรวมถึงการเข้าถึงข้อความ SMS รายชื่อผู้ติดต่อ บันทึกการโทร แอปพลิเคชันที่ติดตั้ง และข้อมูลระบบโดยละเอียด มัลแวร์นี้ยังสามารถดึงข้อมูลบัญชี Gmail ตรวจสอบตำแหน่งแบบเรียลไทม์ และรวบรวมข้อมูลเครือข่ายและการเชื่อมต่อได้อีกด้วย
คุณสมบัติการสอดแนมเพิ่มเติมครอบคลุมถึงการดักจับการแจ้งเตือน การตรวจสอบคลิปบอร์ด และการติดตามประวัติการใช้งานเบราว์เซอร์ มัลแวร์นี้สามารถดักจับข้อมูลจากเสาสัญญาณโทรศัพท์มือถือ สแกนเครือข่าย WiFi ที่ใช้งานได้ บันทึกประวัติการเชื่อมต่อ และเข้าถึงไฟล์ทั้งหมดในอุปกรณ์ผ่านส่วนประกอบการจัดการไฟล์ในตัว
การควบคุมและการรบกวนอุปกรณ์จากระยะไกล
นอกเหนือจากการสอดแนมแล้ว SURXRAT ยังช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ติดไวรัสจากระยะไกลได้อย่างสมบูรณ์ ความสามารถต่างๆ ได้แก่ การปลดล็อกอุปกรณ์ การโทรออก การเปลี่ยนภาพพื้นหลัง การเล่นไฟล์เสียง การสร้างความล่าช้าของเครือข่ายเทียม การส่งการแจ้งเตือนแบบพุช และการบังคับให้อุปกรณ์เปิดเว็บไซต์ที่กำหนด นอกจากนี้ยังสามารถเปิดไฟฉาย กระตุ้นการสั่น และแสดงข้อความที่กำหนดเองบนหน้าจอได้อีกด้วย
ฟังก์ชันที่รุนแรงกว่านั้นทำให้ผู้ใช้งานสามารถล็อกอุปกรณ์โดยใช้รหัส PIN ที่เลือกเอง หรือลบข้อมูลที่จัดเก็บไว้ทั้งหมดได้ เวอร์ชันล่าสุดได้เพิ่มกลไกการจำกัดความเร็วอินเทอร์เน็ตที่จงใจทำให้การเชื่อมต่อของเหยื่อช้าลง โดยทำได้โดยการเริ่มดาวน์โหลดไฟล์ขนาดใหญ่ที่โฮสต์อยู่บน Hugging Face กระบวนการดาวน์โหลดจะถูกเรียกใช้งานโดยอัตโนมัติเมื่อแอปพลิเคชันเกมบางแอปพลิเคชันทำงานอยู่ รวมถึง Free Fire รุ่นพิเศษ หรือเมื่อผู้โจมตีระบุแอปพลิเคชันเป้าหมายอื่นผ่านทางเซิร์ฟเวอร์ควบคุม
ฟังก์ชันแรนซัมแวร์ในตัว
SURXRAT มีฟีเจอร์ล็อกหน้าจอแบบเดียวกับมัลแวร์เรียกค่าไถ่ โดยจะแสดงข้อความเต็มหน้าจอและล็อกอุปกรณ์ด้วยรหัส PIN ผู้โจมตีสามารถเรียกค่าไถ่ ตรวจสอบการป้อนรหัส PIN ที่ไม่ถูกต้องแบบเรียลไทม์ และปลดล็อกจากระยะไกลได้หากต้องการ ความสามารถดังกล่าวถูกนำมาใช้เพื่อการเรียกค่าไถ่ทางการเงินเป็นประจำ
ผลกระทบและนัยสำคัญด้านความปลอดภัย
SURXRAT เป็นภัยคุกคามต่อระบบ Android ที่มีฟังก์ชันการทำงานหลากหลาย โดยรวมการขโมยข้อมูล การสอดแนม การควบคุมระยะไกล และการเรียกค่าไถ่ไว้ในกรอบการทำงานเดียว ผลกระทบต่อเหยื่ออาจรวมถึงการฉ้อโกงทางการเงิน การขโมยข้อมูลส่วนบุคคล การถูกบุกรุกบัญชี การละเมิดความเป็นส่วนตัว การหยุดชะงักของการดำเนินงาน และความเสี่ยงที่เพิ่มขึ้นต่อการถูกโจมตีทางไซเบอร์ซ้ำซ้อน
มัลแวร์ Android เช่น SURXRAT มักแพร่กระจายผ่านแอปพลิเคชันหลอกลวงที่โฮสต์อยู่ในตลาดแอปพลิเคชันที่ไม่เป็นทางการหรือเว็บไซต์ที่เป็นอันตราย ผู้โจมตีมักปลอมแปลงมัลแวร์ให้ดูเหมือนแอปพลิเคชันที่ถูกต้อง เกมที่ดัดแปลง ซอฟต์แวร์ที่ถูกแคร็ก หรือการอัปเดตซอฟต์แวร์ วิธีการแพร่กระจายยังรวมถึงลิงก์ฟิชชิ่งที่ส่งผ่าน SMS อีเมล โซเชียลมีเดีย และแพลตฟอร์มการส่งข้อความ ในบางกรณี ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ของระบบหรือใช้โฆษณาที่เป็นอันตราย ในกรณีส่วนใหญ่ การติดเชื้อที่สำเร็จจะขึ้นอยู่กับการโต้ตอบของผู้ใช้ที่อนุญาตให้แอปพลิเคชันที่เป็นอันตรายทำงานโดยไม่รู้ตัว
