SURXRAT 恶意软件
SURXRAT 是一款复杂的安卓远程访问木马 (RAT),它通过基于 Telegram 的平台以恶意软件即服务 (MaaS) 模式分发。源代码分析和功能相似性表明,它很可能源自 Arsink RAT。SURXRAT 旨在入侵安卓设备,能够窃取大量数据、远程操控设备,甚至完全锁定设备。
目录
犯罪商业模式:经销商和合作伙伴计划
SURXRAT 通过两种一次性付费订阅级别进行商业化运营,每种级别都针对不同级别的犯罪企业量身定制:
经销商计划:允许每天最多构建三个恶意软件版本,并允许按照运营商确定的价格进行重新分发。
合作伙伴计划:允许每天最多进行十次构建,并授权买家建立自己的经销商网络。
这两个套餐都包含免费的服务器升级,进一步强化了这一非法生态系统的结构化和可扩展性。
感染工作流程和权限滥用
SURXRAT 启动后会积极请求高风险权限,包括访问位置数据、联系人、短信和设备存储。一旦获得授权,该恶意软件会提示受害者启用 Android 辅助功能服务。这一关键步骤使得恶意应用程序能够监控屏幕活动并在用户不知情的情况下执行自动化操作。
在获取所需权限后,SURXRAT 会收集大量的设备情报,包括联系人列表、短信内容、通话记录、设备制造商和型号、安卓版本、电池电量、SIM 卡信息、网络信息和公网 IP 地址。该恶意软件会在后台持续运行,并与其命令与控制 (C2) 服务器保持通信。它还会激活专门的模块,用于监视、系统控制和数据收集。
监控和数据泄露能力
SURXRAT 为运营商提供了对受感染设备的全面可视性。其数据窃取功能包括访问短信、联系人、通话记录、已安装应用程序和详细的系统信息。该恶意软件还可以提取 Gmail 帐户数据、实时监控位置并收集网络和连接指标。
其他监控功能还包括拦截通知、监控剪贴板和追踪浏览器历史记录。该恶意软件可以捕获蜂窝基站数据、扫描可用的WiFi网络、记录连接历史记录,并通过集成的文件管理组件访问设备上的所有文件。
远程设备操控与干扰
除了间谍活动之外,SURXRAT 还赋予攻击者对受感染设备的完全远程控制权。其功能包括解锁设备、拨打电话、更改壁纸、播放音频、人为制造网络延迟、发送推送通知以及强制设备打开指定网站。它还可以激活手电筒、触发振动以及在屏幕上叠加自定义文本。
更严重的功能允许攻击者使用自行设定的PIN码锁定设备,或彻底清除存储的数据。最新版本引入了一种网络限速机制,会故意降低受害者的网络连接速度。这是通过启动从Hugging Face网站下载大型文件来实现的。当某些游戏应用程序(包括Free Fire的特别版)处于活动状态,或者攻击者通过控制服务器指定其他目标应用程序时,下载过程会自动触发。
内置勒索软件功能
SURXRAT 集成了一种类似勒索软件的锁定功能,该功能会显示全屏消息并使用 PIN 码锁定设备。攻击者可以索要赎金、实时监控错误的 PIN 码输入尝试,并可根据需要远程解除锁定。此类功能通常被用于敲诈勒索。
影响和安全隐患
SURXRAT 是一款多功能安卓威胁程序,它将数据窃取、间谍活动、远程控制和勒索软件攻击整合于同一框架内。受害者可能遭受的后果包括金融诈骗、身份盗窃、账户被盗用、隐私泄露、运营中断以及面临二次网络攻击的风险增加。
诸如 SURXRAT 之类的安卓恶意软件通常通过托管在非官方应用商店或恶意网站上的欺骗性应用程序进行传播。攻击者经常将恶意程序伪装成合法应用程序、修改版游戏、破解软件或软件更新。传播方式还包括通过短信、电子邮件、社交媒体和即时通讯平台发送钓鱼链接。在其他攻击活动中,攻击者会利用系统漏洞或投放恶意广告。在大多数情况下,成功感染取决于用户在不知情的情况下授权恶意应用程序运行。
