SURXRAT Malware
SURXRAT ist ein hochentwickelter Android-Fernzugriffstrojaner (RAT), der über eine Telegram-basierte Plattform im Rahmen eines Malware-as-a-Service-Modells (MaaS) verbreitet wird. Quellcodeanalysen und funktionale Ähnlichkeiten deuten darauf hin, dass er wahrscheinlich von Arsink RAT abstammt. SURXRAT wurde entwickelt, um Android-Geräte zu infiltrieren und ermöglicht umfangreichen Datendiebstahl, die Fernmanipulation von Geräten und sogar deren vollständige Sperrung.
Inhaltsverzeichnis
Kriminelles Geschäftsmodell: Wiederverkäufer- und Partnerprogramme
SURXRAT wird über zwei Abonnementstufen mit einmaliger Zahlung vermarktet, die jeweils auf unterschiedliche Größenordnungen krimineller Organisationen zugeschnitten sind:
Reseller-Plan : Erlaubt bis zu drei Malware-Builds pro Tag und die Weiterverteilung zu Preisen, die vom Betreiber festgelegt werden.
Partnerplan : Ermöglicht bis zu zehn Builds pro Tag und berechtigt Käufer, ihre eigenen Reseller-Netzwerke aufzubauen.
Beide Pakete beinhalten kostenlose Server-Upgrades und unterstreichen damit den strukturierten und skalierbaren Charakter dieses illegalen Ökosystems.
Infektionsablauf und Berechtigungsmissbrauch
Nach dem Start fordert SURXRAT aggressiv riskante Berechtigungen an, darunter Zugriff auf Standortdaten, Kontakte, SMS-Nachrichten und den Gerätespeicher. Sobald diese erteilt sind, fordert die Schadsoftware das Opfer auf, die Android-Bedienungshilfen zu aktivieren. Dieser kritische Schritt ermöglicht es der schädlichen Anwendung, die Bildschirmaktivitäten zu überwachen und automatisierte Aktionen ohne Wissen des Nutzers durchzuführen.
Nachdem SURXRAT die erforderlichen Berechtigungen erlangt hat, sammelt es umfangreiche Geräteinformationen, darunter Kontaktlisten, SMS-Inhalte, Anrufprotokolle, Gerätehersteller und -modell, Android-Version, Akkustand, SIM-Kartendetails, Netzwerkinformationen und die öffentliche IP-Adresse. Die Malware läuft permanent im Hintergrund und hält die Kommunikation mit ihrer Command-and-Control-Infrastruktur (C2) aufrecht. Sie aktiviert außerdem spezielle Module zur Überwachung, Systemsteuerung und Datenerfassung.
Überwachungs- und Datenexfiltrationsfähigkeiten
SURXRAT bietet Betreibern umfassende Einblicke in kompromittierte Geräte. Zu den Funktionen für den Datendiebstahl gehören der Zugriff auf SMS-Nachrichten, Kontakte, Anruflisten, installierte Anwendungen und detaillierte Systeminformationen. Die Schadsoftware kann außerdem Gmail-Kontodaten extrahieren, den Standort in Echtzeit überwachen und Netzwerk- und Verbindungsmetriken erfassen.
Zu den zusätzlichen Überwachungsfunktionen gehören das Abfangen von Benachrichtigungen, die Überwachung der Zwischenablage und die Verfolgung des Browserverlaufs. Die Schadsoftware kann Mobilfunkdaten erfassen, verfügbare WLAN-Netzwerke scannen, Verbindungsverläufe protokollieren und über eine integrierte Dateiverwaltungskomponente auf alle Dateien des Geräts zugreifen.
Fernmanipulation und -störung von Geräten
Über Spionage hinaus ermöglicht SURXRAT Angreifern die vollständige Fernsteuerung infizierter Geräte. Zu den Funktionen gehören das Entsperren des Geräts, das Tätigen von Anrufen, das Ändern von Hintergrundbildern, das Abspielen von Audiodateien, das Erzeugen künstlicher Netzwerkverzögerungen, das Versenden von Push-Benachrichtigungen und das Erzwingen des Öffnens bestimmter Webseiten. Außerdem kann die Taschenlampe aktiviert, Vibrationen ausgelöst und benutzerdefinierter Text auf dem Bildschirm eingeblendet werden.
Schwerwiegendere Funktionen ermöglichen es Angreifern, das Gerät mit einer frei wählbaren PIN zu sperren oder gespeicherte Daten vollständig zu löschen. Eine neuere Version führt einen Mechanismus zur Internetdrosselung ein, der die Verbindung des Opfers gezielt verlangsamt. Dies geschieht durch das Herunterladen einer großen Datei, die auf Hugging Face gehostet wird. Der Download wird automatisch gestartet, sobald bestimmte Spieleanwendungen, darunter spezielle Editionen von Free Fire, aktiv sind oder der Angreifer über den Kontrollserver alternative Zielanwendungen angibt.
Integrierte Ransomware-Funktionalität
SURXRAT verfügt über eine Ransomware-ähnliche Sperrfunktion, die eine Vollbildmeldung anzeigt und das Gerät mit einer PIN sichert. Angreifer können Lösegeld fordern, falsche PIN-Eingabeversuche in Echtzeit überwachen und die Sperre bei Bedarf aus der Ferne entfernen. Solche Funktionen werden häufig für finanzielle Erpressung missbraucht.
Auswirkungen und Sicherheitsimplikationen
Als multifunktionale Android-Bedrohung vereint SURXRAT Datendiebstahl, Spionage, Fernsteuerung und Ransomware-Operationen in einem einzigen System. Die Folgen für die Opfer können Finanzbetrug, Identitätsdiebstahl, Kontoübernahmen, Datenschutzverletzungen, Betriebsstörungen und ein erhöhtes Risiko für weitere Cyberangriffe sein.
Android-Malware wie SURXRAT wird häufig über gefälschte Anwendungen verbreitet, die auf inoffiziellen Marktplätzen oder schädlichen Websites angeboten werden. Angreifer tarnen ihre Schadsoftware oft als legitime Anwendungen, modifizierte Spiele, gecrackte Software oder Software-Updates. Zu den Verbreitungsmethoden gehören auch Phishing-Links, die per SMS, E-Mail, über soziale Medien und Messenger-Dienste versendet werden. In anderen Fällen nutzen Angreifer Systemschwachstellen aus oder schalten schädliche Werbung. In den meisten Fällen hängt eine erfolgreiche Infektion von der Interaktion des Nutzers ab, der die Ausführung der Schadsoftware unwissentlich autorisiert.
