SURXRAT マルウェア
SURXRATは、Telegramベースのプラットフォームを通じてマルウェア・アズ・ア・サービス(MaaS)モデルで配布される、高度なAndroid向けリモートアクセス型トロイの木馬(RAT)です。ソースコード解析と機能の類似性から、Arsink RATから進化した可能性が高いことが示唆されています。Androidデバイスへの侵入を目的として設計されたSURXRATは、広範なデータ窃取、リモートデバイス操作、さらにはデバイス全体のロックダウンを可能にします。
目次
犯罪ビジネスモデル:再販業者とパートナースキーム
SURXRAT は、犯罪組織のさまざまなレベルに合わせてカスタマイズされた 2 つの 1 回限りの支払いサブスクリプション レベルを通じて商品化されます。
リセラー プラン: 1 日あたり最大 3 つのマルウェア ビルドを許可し、オペレーターが決定した価格での再配布を許可します。
パートナー プラン: 1 日あたり最大 10 回のビルドを許可し、購入者が独自の再販業者ネットワークを確立することを許可します。
どちらのパッケージにも無料のサーバー アップグレードが含まれており、この違法なエコシステムの構造化と拡張性を強化します。
感染ワークフローと権限の濫用
SURXRATは実行時に、位置情報、連絡先、SMSメッセージ、デバイスストレージへのアクセスなど、リスクの高い権限を積極的に要求します。権限を付与すると、マルウェアは被害者にAndroidアクセシビリティサービスを有効にするよう促します。この重要なステップにより、悪意のあるアプリケーションは画面上のアクティビティを監視し、ユーザーに気付かれることなく自動アクションを実行できるようになります。
SURXRATは必要な権限を取得した後、連絡先リスト、SMSの内容、通話履歴、デバイスのメーカーとモデル、Androidのバージョン、バッテリー残量、SIMカードの詳細、ネットワーク情報、パブリックIPアドレスなど、広範なデバイス情報を収集します。このマルウェアは、コマンドアンドコントロール(C2)インフラストラクチャとの通信を維持しながら、バックグラウンドで永続的に実行します。また、監視、システム制御、データ収集を担う専用モジュールも起動します。
監視およびデータ流出機能
SURXRATは、オペレーターに侵害されたデバイスの広範な可視性を提供します。そのデータ窃取機能には、SMSメッセージ、連絡先、通話履歴、インストール済みアプリケーション、詳細なシステム情報へのアクセスが含まれます。また、Gmailアカウントデータの抽出、リアルタイムでの位置情報監視、ネットワークおよび接続メトリックの収集も可能です。
追加の監視機能には、通知の傍受、クリップボードの監視、ブラウザ履歴の追跡などが含まれます。マルウェアは、携帯電話基地局のデータの取得、利用可能なWi-Fiネットワークのスキャン、接続履歴の記録、そして統合されたファイル管理コンポーネントを介してデバイス上のすべてのファイルへのアクセスが可能です。
リモートデバイスの操作と妨害
SURXRATはスパイ活動にとどまらず、感染したデバイスを攻撃者に完全にリモート制御する権限を与えます。デバイスのロック解除、通話の開始、壁紙の変更、音声の再生、ネットワークラグの人工的な発生、プッシュ通知の送信、特定のウェブサイトの強制的な表示などが可能です。さらに、懐中電灯の点灯、バイブレーションの作動、画面へのカスタムテキストのオーバーレイも可能です。
より深刻な機能として、操作者は任意のPINを使用してデバイスをロックしたり、保存されているデータを完全に消去したりすることができます。最新バージョンでは、被害者の接続を意図的に遅くするインターネットスロットリングメカニズムが導入されています。これは、Hugging Faceにホストされている巨大なファイルのダウンロードを開始することで実現されます。ダウンロードプロセスは、Free Fireの特別版を含む特定のゲームアプリケーションがアクティブになっている場合、または攻撃者が制御サーバーを介して別のターゲットアプリケーションを指定した場合に自動的に開始されます。
ランサムウェア対策機能搭載
SURXRATは、ランサムウェアのようなロック機能を搭載しており、全画面メッセージを表示し、PINでデバイスをロックします。攻撃者は身代金を要求したり、誤ったPIN入力をリアルタイムで監視したり、必要に応じてリモートでロックを解除したりできます。こうした機能は、金銭的脅迫によく利用されます。
影響とセキュリティへの影響
多機能なAndroid脅威であるSURXRATは、データ窃盗、スパイ活動、リモートコントロール、ランサムウェア攻撃を単一のフレームワークに統合します。被害者への影響としては、金融詐欺、個人情報窃盗、アカウント侵害、プライバシー侵害、業務妨害、二次的なサイバー攻撃へのリスク増加などが挙げられます。
SURXRATなどのAndroidマルウェアは、非公式マーケットプレイスや悪意のあるウェブサイトでホストされている偽装アプリケーションを通じて拡散されるのが一般的です。脅威アクターは、ペイロードを正規アプリケーション、改造されたゲーム、クラッキングされたソフトウェア、またはソフトウェアアップデートに偽装することがよくあります。また、SMS、メール、ソーシャルメディア、メッセージングプラットフォーム経由で送信されるフィッシングリンクも、マルウェアの拡散方法の一つです。他のキャンペーンでは、攻撃者はシステムの脆弱性を悪用したり、悪意のある広告を展開したりします。ほとんどの場合、感染の成否は、ユーザーが意図せず悪意のあるアプリケーションの実行を許可してしまうような操作によって決まります。
