Malware ng SURXRAT
Ang SURXRAT ay isang sopistikadong Android remote access Trojan (RAT) na ipinamamahagi sa ilalim ng isang malware-as-a-service (MaaS) model sa pamamagitan ng isang platform na nakabase sa Telegram. Ang pagsusuri ng source code at mga pagkakatulad sa paggana ay nagpapahiwatig na malamang na ito ay nagmula sa Arsink RAT. Dinisenyo upang makapasok sa mga Android device, ang SURXRAT ay nagbibigay-daan sa malawakang pagnanakaw ng data, malayuang manipulasyon ng device, at maging ang ganap na pag-lockdown ng device.
Talaan ng mga Nilalaman
Modelo ng Negosyong Kriminal: Mga Iskemang Reseller at Partner
Ang SURXRAT ay ipinamamahagi sa pamamagitan ng dalawang antas ng one-time payment subscription, na bawat isa ay iniayon sa iba't ibang antas ng kriminal na negosyo:
Plano ng Reseller : Pinapayagan ang hanggang tatlong pagbuo ng malware bawat araw at pinapayagan ang muling pamamahagi sa ilalim ng presyong tinutukoy ng operator.
Plano ng Kasosyo : Pinapayagan ang hanggang sampung build bawat araw at pinahihintulutan ang mga mamimili na magtatag ng kanilang sariling mga network ng reseller.
Kasama sa parehong pakete ang mga libreng pag-upgrade ng server, na nagpapatibay sa nakabalangkas at nasusukat na katangian ng ilegal na ekosistemang ito.
Daloy ng Trabaho sa Impeksyon at Pag-abuso sa Pahintulot
Sa oras ng pagpapatupad, agresibong humihingi ang SURXRAT ng mga pahintulot na may mataas na panganib, kabilang ang pag-access sa data ng lokasyon, mga contact, mga mensaheng SMS, at imbakan ng device. Kapag nabigyan na, hihikayatin ng malware ang biktima na paganahin ang Mga Serbisyo sa Pag-access sa Android. Ang mahalagang hakbang na ito ay nagbibigay-daan sa malisyosong application na subaybayan ang aktibidad sa screen at magsagawa ng mga awtomatikong aksyon nang hindi nalalaman ng user.
Matapos makuha ang mga kinakailangang pribilehiyo, nangongolekta ang SURXRAT ng malawak na impormasyon tungkol sa device, kabilang ang mga listahan ng contact, nilalaman ng SMS, mga log ng tawag, tagagawa at modelo ng device, bersyon ng Android, antas ng baterya, mga detalye ng SIM card, impormasyon ng network, at pampublikong IP address. Pinapanatili ng malware ang patuloy na background execution habang pinapanatili ang komunikasyon sa Command-and-Control (C2) infrastructure nito. Ina-activate din nito ang mga nakalaang module na responsable para sa surveillance, pagkontrol ng system, at pagkolekta ng data.
Mga Kakayahan sa Pagsubaybay at Pag-exfiltrate ng Datos
Nagbibigay ang SURXRAT sa mga operator ng malawak na kakayahang makita ang mga nakompromisong device. Kabilang sa mga kakayahan nito sa pagnanakaw ng data ang pag-access sa mga mensaheng SMS, contact, call log, naka-install na application, at detalyadong impormasyon ng system. Maaari ring kunin ng malware ang data ng Gmail account, subaybayan ang lokasyon nang real time, at mangalap ng mga sukatan ng network at koneksyon.
Ang mga karagdagang tampok ng pagsubaybay ay umaabot sa pagharang ng notification, pagsubaybay sa clipboard, at pagsubaybay sa kasaysayan ng browser. Maaaring makuha ng malware ang data ng cellular tower, i-scan ang mga available na WiFi network, i-log ang mga kasaysayan ng koneksyon, at i-access ang lahat ng file sa device sa pamamagitan ng isang integrated file management component.
Manipulasyon at Pagkagambala sa Remote Device
Higit pa sa paniniktik, binibigyan ng SURXRAT ang mga umaatake ng ganap na remote control sa mga nahawaang device. Kabilang sa mga kakayahan ang pag-unlock ng device, pagsisimula ng mga tawag sa telepono, pagbabago ng mga wallpaper, pagpapatugtog ng audio, pagbuo ng artipisyal na network lag, pagpapadala ng mga push notification, at pagpilit sa device na buksan ang mga tinukoy na website. Maaari rin nitong i-activate ang flashlight, mag-trigger ng vibration, at mag-overlay ng custom na teksto sa screen.
Ang mas mabibigat na function ay nagbibigay-daan sa mga operator na i-lock ang device gamit ang PIN na kanilang napili o tuluyang burahin ang nakaimbak na data. Ang isang bagong bersyon ay nagpapakilala ng isang mekanismo ng internet throttling na sadyang nagpapabagal sa koneksyon ng isang biktima. Nakakamit ito sa pamamagitan ng pagsisimula ng pag-download ng isang napakalaking file na naka-host sa Hugging Face. Ang proseso ng pag-download ay awtomatikong nati-trigger kapag ang ilang mga application sa paglalaro, kabilang ang mga espesyal na edisyon ng Free Fire, ay aktibo, o kapag ang attacker ay tumutukoy ng mga alternatibong target na application sa pamamagitan ng control server.
Built-In na Pag-andar ng Ransomware
Isinasama ng SURXRAT ang isang feature na parang ransomware sa pag-lock na nagpapakita ng full-screen na mensahe at sinisigurado ang device gamit ang isang PIN. Maaaring humingi ng bayad ang mga umaatake, subaybayan ang mga maling pagtatangka sa pagpasok ng PIN nang real time, at alisin ang lock nang malayuan kung ninanais. Ang mga ganitong kakayahan ay karaniwang ginagamit para sa pinansyal na pangingikil.
Epekto at Implikasyon sa Seguridad
Bilang isang multifunctional na banta sa Android, pinagsasama ng SURXRAT ang pagnanakaw ng data, paniniktik, remote control, at mga operasyon ng ransomware sa loob ng iisang balangkas. Ang mga kahihinatnan para sa mga biktima ay maaaring kabilang ang pandaraya sa pananalapi, pagnanakaw ng pagkakakilanlan, pagkompromiso sa account, mga paglabag sa privacy, pagkagambala sa operasyon, at pagtaas ng pagkakalantad sa mga pangalawang cyberattack.
Ang Android malware tulad ng SURXRAT ay karaniwang ipinamamahagi sa pamamagitan ng mga mapanlinlang na application na naka-host sa mga hindi opisyal na marketplace o mga malisyosong website. Ang mga threat actor ay madalas na nagkukubli ng mga payload bilang mga lehitimong application, binagong laro, na-crack na software, o mga update ng software. Kasama rin sa mga paraan ng paghahatid ang mga phishing link na ipinapadala sa pamamagitan ng SMS, email, social media, at mga platform ng pagmemensahe. Sa ibang mga kampanya, sinasamantala ng mga attacker ang mga kahinaan ng system o naglalagay ng malisyosong advertising. Sa karamihan ng mga kaso, ang matagumpay na impeksyon ay nakasalalay sa pakikipag-ugnayan ng user na hindi sinasadyang nagpapahintulot sa malisyosong application na gumana.
