SURXRAT Kötü Amaçlı Yazılımı
SURXRAT, Telegram tabanlı bir platform üzerinden kötü amaçlı yazılım hizmeti (MaaS) modeliyle dağıtılan gelişmiş bir Android uzaktan erişim Truva atıdır (RAT). Kaynak kod analizi ve işlevsel benzerlikler, büyük olasılıkla Arsink RAT'tan evrimleştiğini göstermektedir. Android cihazlara sızmak üzere tasarlanan SURXRAT, kapsamlı veri hırsızlığı, uzaktan cihaz manipülasyonu ve hatta cihazın tamamen kilitlenmesini mümkün kılar.
İçindekiler
Suç İş Modeli: Bayi ve Ortaklık Planları
SURXRAT, her biri farklı suç teşebbüsü seviyelerine göre uyarlanmış iki tek seferlik ödeme abonelik kademesi aracılığıyla ticarileştirilmektedir:
Bayi Planı : Günde en fazla üç kötü amaçlı yazılım sürümüne izin verir ve operatör tarafından belirlenen fiyatlandırma üzerinden yeniden dağıtıma olanak tanır.
İş Ortağı Planı : Günde en fazla on adet kurulum yapılmasına olanak tanır ve alıcılara kendi bayi ağlarını kurma yetkisi verir.
Her iki paket de ücretsiz sunucu yükseltmeleri içermekte olup, bu yasadışı ekosistemin yapılandırılmış ve ölçeklenebilir doğasını pekiştirmektedir.
Enfeksiyon İş Akışı ve İzin Kötüye Kullanımı
Çalıştırıldığında, SURXRAT agresif bir şekilde konum verilerine, kişilere, SMS mesajlarına ve cihaz depolama alanına erişim de dahil olmak üzere yüksek riskli izinler talep eder. İzin verildikten sonra, kötü amaçlı yazılım kurbanı Android Erişilebilirlik Hizmetlerini etkinleştirmeye yönlendirir. Bu kritik adım, kötü amaçlı uygulamanın ekran etkinliğini izlemesine ve kullanıcının haberi olmadan otomatik eylemler gerçekleştirmesine olanak tanır.
Gerekli ayrıcalıkları elde ettikten sonra, SURXRAT, kişi listeleri, SMS içerikleri, arama kayıtları, cihaz üreticisi ve modeli, Android sürümü, pil seviyesi, SIM kart bilgileri, ağ bilgileri ve genel IP adresi dahil olmak üzere kapsamlı cihaz istihbaratı toplar. Kötü amaçlı yazılım, Komuta ve Kontrol (C2) altyapısıyla iletişimini sürdürürken sürekli arka plan çalışmasını devam ettirir. Ayrıca gözetim, sistem kontrolü ve veri toplama sorumluluğunu üstlenen özel modülleri de etkinleştirir.
Gözetim ve Veri Sızdırma Yetenekleri
SURXRAT, operatörlere ele geçirilen cihazlar hakkında geniş kapsamlı bilgi sağlar. Veri hırsızlığı yetenekleri arasında SMS mesajlarına, kişilere, arama kayıtlarına, yüklü uygulamalara ve ayrıntılı sistem bilgilerine erişim yer almaktadır. Kötü amaçlı yazılım ayrıca Gmail hesap verilerini çıkarabilir, konumu gerçek zamanlı olarak izleyebilir ve ağ ve bağlantı ölçümlerini toplayabilir.
Ek gözetim özellikleri arasında bildirim engelleme, pano izleme ve tarayıcı geçmişi takibi yer almaktadır. Kötü amaçlı yazılım, baz istasyonu verilerini yakalayabilir, mevcut WiFi ağlarını tarayabilir, bağlantı geçmişlerini kaydedebilir ve entegre bir dosya yönetim bileşeni aracılığıyla cihazdaki tüm dosyalara erişebilir.
Uzaktan Cihaz Manipülasyonu ve Bozma
SURXRAT, casusluğun ötesinde, saldırganlara bulaşmış cihazlar üzerinde tam uzaktan kontrol olanağı sağlıyor. Cihazın kilidini açma, telefon görüşmeleri başlatma, duvar kağıtlarını değiştirme, ses oynatma, yapay ağ gecikmesi oluşturma, anlık bildirimler gönderme ve cihazı belirtilen web sitelerini açmaya zorlama gibi yeteneklere sahip. Ayrıca el fenerini etkinleştirebilir, titreşimi tetikleyebilir ve ekrana özel metin ekleyebilir.
Daha ciddi işlevler, operatörlerin cihazı kendi seçtikleri bir PIN koduyla kilitlemelerine veya depolanan verileri tamamen silmelerine olanak tanır. Son sürümde, kurbanın bağlantısını kasıtlı olarak yavaşlatan bir internet kısıtlama mekanizması bulunmaktadır. Bu, Hugging Face'te barındırılan büyük bir dosyanın indirilmesini başlatarak gerçekleştirilir. İndirme işlemi, Free Fire'ın özel sürümleri de dahil olmak üzere belirli oyun uygulamaları etkin olduğunda veya saldırgan kontrol sunucusu aracılığıyla alternatif hedef uygulamaları belirttiğinde otomatik olarak tetiklenir.
Dahili Fidye Yazılımı İşlevselliği
SURXRAT, tam ekran bir mesaj görüntüleyen ve cihazı PIN koduyla kilitleyen fidye yazılımı tarzı bir kilitleme özelliğine sahiptir. Saldırganlar ödeme talep edebilir, yanlış PIN giriş denemelerini gerçek zamanlı olarak izleyebilir ve isterlerse uzaktan kilidi kaldırabilirler. Bu tür yetenekler genellikle mali şantaj için kullanılır.
Etki ve Güvenlik Sonuçları
Çok işlevli bir Android tehdidi olan SURXRAT, veri hırsızlığı, casusluk, uzaktan kontrol ve fidye yazılımı işlemlerini tek bir çerçevede birleştiriyor. Mağdurlar için sonuçları arasında mali dolandırıcılık, kimlik hırsızlığı, hesap ele geçirilmesi, gizlilik ihlalleri, operasyonel aksama ve ikincil siber saldırılara karşı artan risk yer alabilir.
SURXRAT gibi Android kötü amaçlı yazılımları genellikle resmi olmayan pazar yerlerinde veya kötü amaçlı web sitelerinde barındırılan aldatıcı uygulamalar aracılığıyla dağıtılır. Tehdit aktörleri sıklıkla zararlı yazılımları meşru uygulamalar, değiştirilmiş oyunlar, korsan yazılımlar veya yazılım güncellemeleri gibi gösterir. Dağıtım yöntemleri arasında SMS, e-posta, sosyal medya ve mesajlaşma platformları aracılığıyla gönderilen kimlik avı bağlantıları da bulunur. Diğer kampanyalarda saldırganlar sistem güvenlik açıklarından yararlanır veya kötü amaçlı reklamlar yayınlar. Çoğu durumda, başarılı enfeksiyon, kullanıcının farkında olmadan kötü amaçlı uygulamanın çalışmasına izin vermesine bağlıdır.
