Phần mềm độc hại SURXRAT
SURXRAT là một Trojan truy cập từ xa (RAT) tinh vi dành cho Android, được phân phối theo mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS) thông qua nền tảng dựa trên Telegram. Phân tích mã nguồn và sự tương đồng về chức năng cho thấy nó có khả năng phát triển từ Arsink RAT. Được thiết kế để xâm nhập vào các thiết bị Android, SURXRAT cho phép đánh cắp dữ liệu trên diện rộng, thao tác thiết bị từ xa và thậm chí khóa hoàn toàn thiết bị.
Mục lục
Mô hình kinh doanh tội phạm: Các kế hoạch phân phối và hợp tác
SURXRAT được thương mại hóa thông qua hai gói đăng ký trả phí một lần, mỗi gói được thiết kế riêng cho các cấp độ hoạt động tội phạm khác nhau:
Gói đại lý : Cho phép tạo tối đa ba bản sao phần mềm độc hại mỗi ngày và cho phép phân phối lại với mức giá do nhà điều hành quy định.
Gói Đối tác : Cho phép tối đa mười lượt cài đặt mỗi ngày và cho phép người mua thiết lập mạng lưới đại lý bán lẻ riêng của họ.
Cả hai gói đều bao gồm nâng cấp máy chủ miễn phí, củng cố tính chất có cấu trúc và khả năng mở rộng của hệ sinh thái bất hợp pháp này.
Quy trình lây nhiễm và lạm dụng quyền truy cập
Khi được thực thi, SURXRAT sẽ yêu cầu các quyền truy cập có rủi ro cao một cách quyết liệt, bao gồm quyền truy cập vào dữ liệu vị trí, danh bạ, tin nhắn SMS và bộ nhớ thiết bị. Sau khi được cấp quyền, phần mềm độc hại sẽ yêu cầu nạn nhân bật Dịch vụ Trợ năng Android. Bước quan trọng này cho phép ứng dụng độc hại theo dõi hoạt động trên màn hình và thực hiện các hành động tự động mà người dùng không hề hay biết.
Sau khi giành được các quyền cần thiết, SURXRAT thu thập thông tin chi tiết về thiết bị, bao gồm danh bạ, nội dung tin nhắn SMS, nhật ký cuộc gọi, nhà sản xuất và kiểu máy, phiên bản Android, mức pin, thông tin thẻ SIM, thông tin mạng và địa chỉ IP công cộng. Phần mềm độc hại duy trì hoạt động ngầm liên tục đồng thời duy trì liên lạc với cơ sở hạ tầng điều khiển (C2) của nó. Nó cũng kích hoạt các mô-đun chuyên dụng chịu trách nhiệm giám sát, kiểm soát hệ thống và thu thập dữ liệu.
Khả năng giám sát và đánh cắp dữ liệu
SURXRAT cung cấp cho người dùng khả năng giám sát toàn diện các thiết bị bị xâm nhập. Khả năng đánh cắp dữ liệu của nó bao gồm truy cập vào tin nhắn SMS, danh bạ, nhật ký cuộc gọi, ứng dụng đã cài đặt và thông tin hệ thống chi tiết. Phần mềm độc hại này cũng có thể trích xuất dữ liệu tài khoản Gmail, theo dõi vị trí theo thời gian thực và thu thập các chỉ số mạng và kết nối.
Các tính năng giám sát bổ sung bao gồm chặn thông báo, theo dõi clipboard và theo dõi lịch sử duyệt web. Phần mềm độc hại có thể thu thập dữ liệu trạm phát sóng di động, quét các mạng WiFi khả dụng, ghi nhật ký lịch sử kết nối và truy cập tất cả các tệp trên thiết bị thông qua một thành phần quản lý tệp tích hợp.
Thao túng và gây rối thiết bị từ xa
Ngoài hoạt động gián điệp, SURXRAT còn cho phép kẻ tấn công điều khiển từ xa hoàn toàn các thiết bị bị nhiễm. Các khả năng bao gồm mở khóa thiết bị, thực hiện cuộc gọi điện thoại, thay đổi hình nền, phát âm thanh, tạo độ trễ mạng giả, gửi thông báo đẩy và buộc thiết bị mở các trang web được chỉ định. Nó cũng có thể kích hoạt đèn pin, gây rung và phủ văn bản tùy chỉnh lên màn hình.
Các chức năng nghiêm trọng hơn cho phép người điều hành khóa thiết bị bằng mã PIN do họ chọn hoặc xóa hoàn toàn dữ liệu đã lưu trữ. Một phiên bản gần đây đã giới thiệu cơ chế điều tiết internet, cố tình làm chậm kết nối của nạn nhân. Điều này được thực hiện bằng cách khởi chạy quá trình tải xuống một tập tin khổng lồ được lưu trữ trên Hugging Face. Quá trình tải xuống được tự động kích hoạt khi một số ứng dụng trò chơi nhất định, bao gồm các phiên bản đặc biệt của Free Fire, đang hoạt động hoặc khi kẻ tấn công chỉ định các ứng dụng mục tiêu thay thế thông qua máy chủ điều khiển.
Chức năng chống phần mềm tống tiền tích hợp sẵn
SURXRAT tích hợp tính năng khóa kiểu mã độc tống tiền, hiển thị thông báo toàn màn hình và khóa thiết bị bằng mã PIN. Kẻ tấn công có thể yêu cầu thanh toán, theo dõi các lần nhập mã PIN sai trong thời gian thực và gỡ khóa từ xa nếu muốn. Những khả năng như vậy thường được lợi dụng để tống tiền.
Tác động và ý nghĩa an ninh
Là một mối đe dọa đa chức năng trên Android, SURXRAT kết hợp các hoạt động đánh cắp dữ liệu, gián điệp, điều khiển từ xa và mã độc tống tiền trong cùng một hệ thống. Hậu quả đối với nạn nhân có thể bao gồm gian lận tài chính, đánh cắp danh tính, xâm phạm tài khoản, vi phạm quyền riêng tư, gián đoạn hoạt động và tăng nguy cơ bị tấn công mạng thứ cấp.
Phần mềm độc hại Android như SURXRAT thường được phát tán thông qua các ứng dụng lừa đảo được lưu trữ trên các chợ ứng dụng không chính thức hoặc các trang web độc hại. Kẻ tấn công thường ngụy trang phần mềm độc hại dưới dạng các ứng dụng hợp pháp, trò chơi đã được sửa đổi, phần mềm bẻ khóa hoặc bản cập nhật phần mềm. Các phương thức phát tán cũng bao gồm các liên kết lừa đảo được gửi qua SMS, email, mạng xã hội và các nền tảng nhắn tin. Trong các chiến dịch khác, kẻ tấn công khai thác các lỗ hổng hệ thống hoặc triển khai quảng cáo độc hại. Trong hầu hết các trường hợp, việc lây nhiễm thành công phụ thuộc vào sự tương tác của người dùng, vô tình cho phép ứng dụng độc hại thực thi.
