概要
SURXRATは、Telegram上で販売されている商用マルウェアとしてのサービス(MaaS)であり、攻撃者が完全なデバイス制御と強力なデータ窃取機能を提供します。インドネシアのオペレーターが運営するチャネルでは、「Reseller」および「Partner」プランを通じて、購入者はカスタムビルダーを作成し、独自のリセラーネットワークを構築することができます。
詳細
SURXRATは、認証情報盗難、詐欺、脅迫などの目的で使用される完全機能型監視およびデバイス制御プラットフォームです。インストール後、SURXRATは広範な権限を要求し、Androidアクセシビリティサービスを悪用して継続的なユーザーインタラクションなしに低可視性のコントロールを維持します。
機能
- SMSメッセージ、連絡先、通話履歴、Gmailアカウントデータ、デバイス情報、位置情報、Wi-Fiおよびセルラーデータ、通知、クリップボードの内容、ブラウジング履歴、ファイルシステム全体のコンテンツを収集
- 電話の発信、SMSメッセージの送信、壁紙の変更、バイブレーションとフラッシュライトの制御、URLの開き、オーディオ再生、ストレージの消去、リモートでのデバイスのロックやアンロック
- Firebase Realtime Databaseエンドポイントを使用してコマンド&コントロール(C2)と通信し、悪意のあるトラフィックを正当なGoogleクラウドサービスと混在させることで信頼性を向上させます。
最新の機能
SURXRATの最新バージョンでは、Hugging Faceから大規模言語モデル(LLM)モジュールを条件付きでダウンロードする機能が追加されました。このモジュールは、特定のゲームアプリケーションが実行されている場合や攻撃者がターゲットパッケージ名をリモートでプッシュした場合にダウンロードされます。
対策
セキュリティチームは、Androidエンドポイントに対する可視性を高め、不審なアクセシビリティの乱用やFirebaseトラフィックパターンを監視し、サイドロードアプリへの厳格な制御を適用するべきです。