В киберпреступной среде зафиксировано активное распространение Android-трояна SURXRAT, функционирующего по модели «malware-as-a-service». О новой версии SURXRAT V5 сообщили аналитики Cyble Research and Intelligence Labs.
По данным исследователей, оператор из Индонезии запустил Telegram-канал с продажей сервиса еще в конце 2024 года, выстроив вокруг вредоноса полноценную коммерческую модель с тарифами Reseller и Partner. Пользователи могут создавать собственные сборки приложения, тогда как управляющая инфраструктура остается под контролем разработчика. В рекламных материалах упоминается более 1300 зарегистрированных аккаунтов.
Функционально SURXRAT представляет собой расширенную платформу удаленного доступа (RAT). После установки зловред запрашивает широкий набор разрешений и использует Accessibility Services для закрепления в системе. Он способен собирать СМС, контакты, журналы вызовов, данные из Gmail, геолокацию, сетевые параметры, содержимое буфера обмена, историю браузера и файлы. Это позволяет перехватывать одноразовые коды и проводить атаки с использованием украденных учетных данных.
Вредонос также поддерживает активное управление устройством: совершение звонков, отправку СМС, открытие ссылок, блокировку экрана и удаление данных. В арсенале присутствует и экранный блокировщик с ПИН-кодом, характерный для вымогательских схем.
Связь с командными серверами осуществляется через Firebase Realtime Database, что позволяет маскировать вредоносный трафик под легитимные облачные сервисы Google. Каждому зараженному устройству присваивается уникальный UUID для управления в режиме реального времени.
Аналитики также выявили сходство кода с семейством ArsinkRAT, что может свидетельствовать об эволюционном развитии ранее существовавшей платформы.
Также внимание экспертов привлек экспериментальный механизм загрузки крупного LLM-модуля объемом более 23 ГБ с платформы Hugging Face. Его активация возможна при запуске определенных приложений или по команде сервера. Предполагается, что ИИ-компонент может использоваться для маскировки вредоносной активности, замедления работы устройства или автоматизации социальной инженерии.
Ранее стало известно, как быстро хакеры начинают использовать утекшие пароли россиян.
