Logiciel malveillant SURXRAT
SURXRAT est un cheval de Troie d'accès à distance (RAT) sophistiqué pour Android, distribué selon un modèle de logiciel malveillant en tant que service (MaaS) via une plateforme basée sur Telegram. L'analyse du code source et les similitudes fonctionnelles indiquent qu'il est probablement dérivé d'Arsink RAT. Conçu pour infiltrer les appareils Android, SURXRAT permet le vol de données à grande échelle, la manipulation à distance des appareils et même leur verrouillage complet.
Table des matières
Modèle commercial criminel : Systèmes de revendeurs et de partenaires
SURXRAT est commercialisé via deux niveaux d'abonnement à paiement unique, chacun adapté à différents niveaux d'activité criminelle :
Plan revendeur : Permet jusqu'à trois versions de logiciels malveillants par jour et autorise leur redistribution à un prix déterminé par l'opérateur.
Plan Partenaire : Permet jusqu'à dix compilations par jour et autorise les acheteurs à établir leurs propres réseaux de revendeurs.
Les deux formules incluent des mises à niveau gratuites des serveurs, renforçant ainsi la nature structurée et évolutive de cet écosystème illicite.
Flux de travail d’infection et abus d’autorisation
Lors de son exécution, SURXRAT demande de manière agressive des autorisations à haut risque, notamment l'accès aux données de localisation, aux contacts, aux SMS et au stockage de l'appareil. Une fois ces autorisations accordées, le logiciel malveillant invite la victime à activer les services d'accessibilité Android. Cette étape cruciale permet à l'application malveillante de surveiller l'activité à l'écran et d'effectuer des actions automatisées à l'insu de l'utilisateur.
Après avoir obtenu les privilèges requis, SURXRAT collecte des informations détaillées sur l'appareil, notamment les listes de contacts, le contenu des SMS, l'historique des appels, le fabricant et le modèle de l'appareil, la version d'Android, le niveau de batterie, les informations sur la carte SIM, les informations réseau et l'adresse IP publique. Le logiciel malveillant s'exécute en arrière-plan de manière persistante tout en maintenant la communication avec son infrastructure de commande et de contrôle (C2). Il active également des modules dédiés à la surveillance, au contrôle du système et à la collecte de données.
Capacités de surveillance et d’exfiltration de données
SURXRAT offre aux opérateurs une visibilité étendue sur les appareils compromis. Ses capacités de vol de données incluent l'accès aux SMS, aux contacts, à l'historique des appels, aux applications installées et aux informations système détaillées. Ce logiciel malveillant peut également extraire les données des comptes Gmail, surveiller la localisation en temps réel et collecter des données sur le réseau et la connectivité.
Des fonctionnalités de surveillance supplémentaires incluent l'interception des notifications, la surveillance du presse-papiers et le suivi de l'historique de navigation. Le logiciel malveillant peut capturer les données des antennes-relais, analyser les réseaux Wi-Fi disponibles, enregistrer l'historique des connexions et accéder à tous les fichiers de l'appareil grâce à un composant de gestion de fichiers intégré.
Manipulation et perturbation à distance des dispositifs
Au-delà de l'espionnage, SURXRAT offre aux attaquants un contrôle total à distance des appareils infectés. Ses fonctionnalités incluent le déverrouillage de l'appareil, le passage d'appels téléphoniques, la modification du fond d'écran, la lecture audio, la génération artificielle de latence réseau, l'envoi de notifications push et l'ouverture forcée de sites web spécifiques. Il peut également activer la lampe torche, déclencher des vibrations et afficher du texte personnalisé à l'écran.
Des fonctions plus avancées permettent aux opérateurs de verrouiller l'appareil à l'aide d'un code PIN de leur choix ou d'effacer définitivement les données enregistrées. Une version récente introduit un mécanisme de limitation de bande passante qui ralentit délibérément la connexion de la victime. Ce ralentissement est obtenu en lançant le téléchargement d'un fichier volumineux hébergé sur Hugging Face. Le téléchargement se déclenche automatiquement lorsque certaines applications de jeu, notamment des éditions spéciales de Free Fire, sont actives, ou lorsque l'attaquant spécifie d'autres applications cibles via le serveur de contrôle.
Fonctionnalités intégrées de protection contre les ransomwares
SURXRAT intègre un système de verrouillage de type rançongiciel qui affiche un message en plein écran et sécurise l'appareil avec un code PIN. Les attaquants peuvent exiger une rançon, surveiller en temps réel les tentatives de saisie de code PIN erronées et déverrouiller l'appareil à distance s'ils le souhaitent. Ces fonctionnalités sont couramment utilisées pour l'extorsion financière.
Impact et implications en matière de sécurité
SURXRAT, une menace multifonctionnelle pour Android, combine vol de données, espionnage, prise de contrôle à distance et ransomware au sein d'une même plateforme. Les victimes peuvent subir des fraudes financières, des usurpations d'identité, des compromissions de comptes, des atteintes à la vie privée, des perturbations opérationnelles et une vulnérabilité accrue aux cyberattaques secondaires.
Les logiciels malveillants Android tels que SURXRAT sont généralement distribués via des applications trompeuses hébergées sur des plateformes non officielles ou des sites web malveillants. Les cybercriminels dissimulent fréquemment leurs charges utiles sous l'apparence d'applications légitimes, de jeux modifiés, de logiciels piratés ou de mises à jour logicielles. Ils peuvent également diffuser ces logiciels malveillants par le biais de liens d'hameçonnage envoyés par SMS, e-mail, réseaux sociaux et messageries instantanées. Dans d'autres campagnes, les attaquants exploitent des failles de sécurité du système ou diffusent des publicités malveillantes. Le plus souvent, la réussite de l'infection repose sur une interaction de l'utilisateur qui autorise, à son insu, l'exécution de l'application malveillante.
