Шкідливе програмне забезпечення SURXRAT
SURXRAT — це складний троян віддаленого доступу до Android (RAT), що розповсюджується за моделлю шкідливого програмного забезпечення як послуги (MaaS) через платформу на основі Telegram. Аналіз вихідного коду та функціональна схожість свідчать про те, що він, ймовірно, розвинувся на основі Arsink RAT. Розроблений для проникнення на пристрої Android, SURXRAT дозволяє здійснювати масштабну крадіжку даних, віддалене маніпулювання пристроями та навіть повне блокування пристроїв.
Зміст
Злочинна бізнес-модель: схеми реселерів та партнерів
SURXRAT комерціалізується через два рівні одноразової оплати передплати, кожен з яких адаптований до різних рівнів злочинної діяльності:
Реселлерський план : Дозволяє до трьох збірок шкідливого програмного забезпечення на день та розповсюдження за цінами, визначеними оператором.
Партнерський план : Дозволяє до десяти збірок на день і надає покупцям право створювати власні мережі реселерів.
Обидва пакети включають безкоштовні оновлення серверів, що підсилює структурований та масштабований характер цієї незаконної екосистеми.
Робочий процес зараження та зловживання дозволами
Після запуску SURXRAT агресивно запитує дозволи з високим рівнем ризику, включаючи доступ до даних про місцезнаходження, контактів, SMS-повідомлень та пам’яті пристрою. Після надання дозволу шкідливе програмне забезпечення пропонує жертві ввімкнути Служби доступності Android. Цей важливий крок дозволяє шкідливій програмі відстежувати активність на екрані та виконувати автоматизовані дії без відома користувача.
Після отримання необхідних привілеїв SURXRAT збирає розширену інформацію про пристрій, включаючи списки контактів, вміст SMS, журнали викликів, виробника та модель пристрою, версію Android, рівень заряду батареї, дані SIM-картки, інформацію про мережу та публічну IP-адресу. Шкідливе програмне забезпечення постійно виконується у фоновому режимі, підтримуючи зв'язок зі своєю інфраструктурою командування та управління (C2). Воно також активує спеціальні модулі, відповідальні за спостереження, керування системою та збір даних.
Можливості спостереження та витоку даних
SURXRAT надає операторам широку інформацію про скомпрометовані пристрої. Його можливості крадіжки даних включають доступ до SMS-повідомлень, контактів, журналів викликів, встановлених програм та детальної системної інформації. Шкідливе програмне забезпечення також може витягувати дані облікового запису Gmail, відстежувати місцезнаходження в режимі реального часу та збирати показники мережі та підключення.
Додаткові функції спостереження включають перехоплення сповіщень, моніторинг буфера обміну та відстеження історії браузера. Шкідливе програмне забезпечення може захоплювати дані веж стільникового зв'язку, сканувати доступні мережі Wi-Fi, реєструвати історію підключень та отримувати доступ до всіх файлів на пристрої через інтегрований компонент керування файлами.
Маніпуляції та порушення роботи віддалених пристроїв
Окрім шпигунства, SURXRAT надає зловмисникам повний дистанційний контроль над зараженими пристроями. Можливості включають розблокування пристрою, здійснення телефонних дзвінків, зміну шпалер, відтворення аудіо, створення штучної затримки мережі, надсилання push-сповіщень та примусове відкриття певних веб-сайтів пристроєм. Він також може активувати ліхтарик, запускати вібрацію та накладати власний текст на екран.
Більш серйозні функції дозволяють операторам блокувати пристрій за допомогою обраного власним вибором PIN-коду або повністю видаляти збережені дані. В останній версії запроваджено механізм обмеження інтернет-з’єднання, який навмисно уповільнює з’єднання жертви. Це досягається шляхом ініціювання завантаження величезного файлу, розміщеного на Hugging Face. Процес завантаження запускається автоматично, коли активні певні ігрові програми, включаючи спеціальні версії Free Fire, або коли зловмисник вказує альтернативні цільові програми через сервер керування.
Вбудована функція захисту від програм-вимагачів
SURXRAT містить функцію блокування, подібну до програми-вимагача, яка відображає повідомлення на весь екран і захищає пристрій за допомогою PIN-коду. Зловмисники можуть вимагати оплату, відстежувати спроби неправильного введення PIN-коду в режимі реального часу та дистанційно знімати блокування за бажанням. Такі можливості зазвичай використовуються для фінансового вимагання.
Вплив та наслідки для безпеки
Як багатофункціональна загроза для Android, SURXRAT поєднує крадіжку даних, шпигунство, дистанційне керування та операції з програмами-вимагачами в єдиній системі. Наслідки для жертв можуть включати фінансове шахрайство, крадіжку особистих даних, компрометацію облікових записів, порушення конфіденційності, збої в роботі та підвищений ризик вторинних кібератак.
Шкідливе програмне забезпечення для Android, таке як SURXRAT, зазвичай поширюється через шахрайські програми, розміщені на неофіційних торговельних майданчиках або шкідливих веб-сайтах. Зловмисники часто маскують корисні навантаження під легітимні програми, модифіковані ігри, зламане програмне забезпечення або оновлення програмного забезпечення. Методи доставки також включають фішингові посилання, що надсилаються через SMS, електронну пошту, соціальні мережі та платформи обміну повідомленнями. В інших кампаніях зловмисники використовують системні вразливості або розгортають шкідливу рекламу. У більшості випадків успішне зараження залежить від взаємодії користувача, який несвідомо дозволяє шкідливій програмі виконуватися.
