SURXRAT 惡意軟體
SURXRAT 是一款複雜的安卓遠端存取木馬 (RAT),它透過基於 Telegram 的平台以惡意軟體即服務 (MaaS) 模式分發。原始碼分析和功能相似性表明,它很可能源自 Arsink RAT。 SURXRAT 旨在入侵安卓設備,能夠竊取大量資料、遠端操控設備,甚至完全鎖定設備。
目錄
犯罪商業模式:經銷商和合作夥伴計劃
SURXRAT 透過兩種一次性付費訂閱等級進行商業化運營,每種級別都針對不同級別的犯罪企業量身定制:
經銷商計畫:允許每天最多建構三個惡意軟體版本,並允許按照營運商確定的價格進行重新分發。
合作夥伴計畫:允許每天最多進行十次構建,並授權買家建立自己的經銷商網路。
這兩個套餐都包含免費的伺服器升級,進一步強化了這個非法生態系統的結構化和可擴展性。
感染工作流程和權限濫用
SURXRAT 啟動後會積極要求高風險權限,包括存取位置資料、聯絡人、簡訊和設備儲存。一旦獲得授權,該惡意軟體會提示受害者啟用 Android 輔助功能服務。這個關鍵步驟使得惡意應用程式能夠監控螢幕活動並在使用者不知情的情況下執行自動化操作。
在取得所需權限後,SURXRAT 會收集大量的設備情報,包括聯絡人清單、簡訊內容、通話記錄、設備製造商和型號、安卓版本、電池電量、SIM 卡資訊、網路資訊和公網 IP 位址。此惡意軟體會在背景持續運行,並與其命令與控制 (C2) 伺服器保持通訊。它還會啟動專門的模組,用於監視、系統控制和資料收集。
監控和資料外洩能力
SURXRAT 為營運商提供了對受感染設備的全面可視性。其資料竊取功能包括存取簡訊、聯絡人、通話記錄、已安裝應用程式和詳細的系統資訊。該惡意軟體還可以提取 Gmail 帳戶資料、即時監控位置並收集網路和連接指標。
其他監控功能還包括攔截通知、監控剪貼簿和追蹤瀏覽器歷史記錄。該惡意軟體可以捕獲蜂窩基地台數據、掃描可用的WiFi網路、記錄連接歷史記錄,並透過整合的檔案管理元件存取裝置上的所有檔案。
遠端設備操控與幹擾
除了間諜活動之外,SURXRAT 還賦予攻擊者對受感染設備的完全遠端控制權。其功能包括解鎖設備、撥打電話、更改壁紙、播放音訊、人為製造網路延遲、發送推播通知以及強制設備打開指定網站。它還可以激活手電筒、觸發振動以及在螢幕上疊加自訂文字。
更嚴重的功能允許攻擊者使用自行設定的PIN碼鎖定設備,或徹底清除儲存的資料。最新版本引入了網路限速機制,會故意降低受害者的網路連線速度。這是透過啟動從Hugging Face網站下載大型檔案來實現的。當某些遊戲應用程式(包括Free Fire的特別版)處於活動狀態,或攻擊者透過控制伺服器指定其他目標應用程式時,下載程序會自動觸發。
內建勒索軟體功能
SURXRAT 整合了一種類似勒索軟體的鎖定功能,該功能會顯示全螢幕訊息並使用 PIN 碼鎖定裝置。攻擊者可以索取贖金、即時監控錯誤的 PIN 碼輸入嘗試,並可根據需要遠端解除鎖定。此類功能通常被用於敲詐勒索。
影響和安全隱患
SURXRAT 是一款多功能安卓威脅程序,它將資料竊取、間諜活動、遠端控制和勒索軟體攻擊整合於同一框架內。受害者可能遭受的後果包括金融詐騙、身分盜竊、帳戶被盜用、隱私洩露、營運中斷以及面臨二次網路攻擊的風險增加。
諸如 SURXRAT 之類的安卓惡意軟體通常透過託管在非官方應用程式商店或惡意網站上的欺騙性應用程式進行傳播。攻擊者經常將惡意程式偽裝成合法應用程式、修改版遊戲、破解軟體或軟體更新。傳播方式還包括透過簡訊、電子郵件、社群媒體和即時通訊平台發送釣魚連結。在其他攻擊活動中,攻擊者會利用系統漏洞或投放惡意廣告。在大多數情況下,成功感染取決於使用者在不知情的情況下授權惡意應用程式運行。
