新規AndroidマルウェアSurxRATが大規模なデータ窃取とフィッシングにLLMを活用
新しいAndroidリモートアクセストロイアン(RAT)であるSurxRATが、Telegramベースのマルウェア・アズ・ア・サービス(MaaS)エコシステムを通じて販売されていることが明らかになりました。このマルウェアは、SURXRAT V5というブランド名で販売されており、サイバー犯罪者が監視、資格情報の窃取、リモートデバイスの制御、およびランサムウェア風のデバイスロックを可能にするカスタマイズ可能なAndroidマルウェアビルドを作成することができます。
SurxRATの機能とビジネスモデル
SurxRATは、インドネシアの脅威アクターによって運営されており、Telegramチャネルを通じて宣伝されています。このマルウェアは、サイバー犯罪者が即座に使用できるAndroid攻撃ツールを求める新手のサイバー犯罪者を対象としています。
- リセラー・プラン:地下マーケット通貨で約20万円で販売され、永久的なアクセスと、ユーザーが1日に最大3つの悪意のあるビルドを生成できる機能を提供します。
- パートナー・プラン:50万円で販売され、ビルドの上限を増やし、ユーザーが独自のリセラーネットワークを作成できる機能を提供します。
これらのプランは、合法的なSaaSプラットフォームを模倣しており、オペレーターが中央インフラストラクチャを維持しながら、アフィリエイトが感染キャンペーンを処理します。
SurxRATの詳細な機能
インストール後、SurxRATはSMSメッセージ、連絡先、ストレージ、および位置情報へのアクセスを含む複数の権限を要求します。ユーザーは、Androidアクセシビリティサービスを有効にするよう促されます。この機能は、マルウェアがスクリーンアクティビティを監視したり、自動化されたアクションを実行したりするために一般的に悪用されます。
許可が与えられると、マルウェアはFirebaseリアルタイムデータベースインフラストラクチャに接続し、コマンド&コントロール(C2)サーバーとして使用します。これにより、攻撃者は感染したデバイスを登録し、アクティビティを監視し、リアルタイムでコマンドを発行できます。
LLM統合とAI実験
最近のSurxRATサンプルで発見された最も異例な機能の1つは、外部リポジトリ(Hugging Faceなど)にホストされている大規模言語モデル(LLM)モジュールの条件付きダウンロードです。このモジュールのダウンロードは、感染したデバイスで特定のゲームアプリ(例:Free Fire MAX)がアクティブな場合にのみトリガーされます。
研究者は、このメカニズムが複数の目的を果たす可能性があると推測しています。
- 攻撃者は、大規模モデルを使用してデバイスのパフォーマンスやネットワーク接続を意図的に遅くする。
- AIコンポーネントは、自動化されたフィッシング会話、適応型ソーシャルエンジニアリングメッセージ、または被害者との自動化された相互作用を可能にする。
これらの機能はまだ開発中ですが、AIコンポーネントの存在は、サイバー犯罪者がモバイルマルウェアに機械学習機能を統合する実験を開始していることを示しています。
セキュリティ上の懸念
セキュリティ研究者は、SurxRATがAndroidマルウェアエコシステムのプロフェッショナライゼーションを示していると警告しています。開発者は、幅広いサイバー犯罪者アフィリエイトに高度なモバイル攻撃プラットフォームを販売しています。さらに、AIモジュールの追加は、将来的なモバイル脅威が自動化されたフィッシングや適応型攻撃手法をますます組み込む可能性があることを示しています。