Malware SURXRAT
SURXRAT es un sofisticado troyano de acceso remoto (RAT) para Android, distribuido bajo un modelo de malware como servicio (MaaS) a través de una plataforma basada en Telegram. El análisis del código fuente y las similitudes funcionales indican que probablemente evolucionó a partir de Arsink RAT. Diseñado para infiltrarse en dispositivos Android, SURXRAT permite el robo de datos a gran escala, la manipulación remota de dispositivos e incluso el bloqueo total de estos.
Tabla de contenido
Modelo de negocio delictivo: esquemas de revendedores y socios
SURXRAT se comercializa a través de dos niveles de suscripción de pago único, cada uno adaptado a diferentes niveles de empresa delictiva:
Plan de revendedor : permite hasta tres compilaciones de malware por día y permite la redistribución según un precio determinado por el operador.
Plan de socio : permite hasta diez compilaciones por día y autoriza a los compradores a establecer sus propias redes de revendedores.
Ambos paquetes incluyen actualizaciones de servidor gratuitas, lo que refuerza la naturaleza estructurada y escalable de este ecosistema ilícito.
Flujo de trabajo de infección y abuso de permisos
Tras su ejecución, SURXRAT solicita agresivamente permisos de alto riesgo, como acceso a datos de ubicación, contactos, mensajes SMS y almacenamiento del dispositivo. Una vez concedidos, el malware solicita a la víctima que habilite los Servicios de Accesibilidad de Android. Este paso crucial permite a la aplicación maliciosa monitorear la actividad en pantalla y realizar acciones automatizadas sin que el usuario lo note.
Tras obtener los privilegios necesarios, SURXRAT recopila información exhaustiva del dispositivo, incluyendo listas de contactos, contenido de SMS, registros de llamadas, fabricante y modelo del dispositivo, versión de Android, nivel de batería, detalles de la tarjeta SIM, información de red y dirección IP pública. El malware mantiene una ejecución persistente en segundo plano mientras mantiene la comunicación con su infraestructura de Comando y Control (C2). También activa módulos dedicados a la vigilancia, el control del sistema y la recopilación de datos.
Capacidades de vigilancia y exfiltración de datos
SURXRAT ofrece a los operadores una amplia visibilidad de los dispositivos comprometidos. Sus capacidades de robo de datos incluyen acceso a mensajes SMS, contactos, registros de llamadas, aplicaciones instaladas e información detallada del sistema. El malware también puede extraer datos de cuentas de Gmail, monitorear la ubicación en tiempo real y recopilar métricas de red y conectividad.
Las funciones de vigilancia adicionales incluyen la interceptación de notificaciones, la supervisión del portapapeles y el seguimiento del historial del navegador. El malware puede capturar datos de torres de telefonía móvil, escanear las redes wifi disponibles, registrar el historial de conexiones y acceder a todos los archivos del dispositivo mediante un componente integrado de gestión de archivos.
Manipulación y disrupción de dispositivos remotos
Además del espionaje, SURXRAT otorga a los atacantes control remoto total sobre los dispositivos infectados. Entre sus funciones se incluyen desbloquear el dispositivo, iniciar llamadas, modificar fondos de pantalla, reproducir audio, generar latencia artificial en la red, enviar notificaciones push y forzar la apertura de sitios web específicos. También puede activar la linterna, activar la vibración y superponer texto personalizado en la pantalla.
Las funciones más severas permiten a los operadores bloquear el dispositivo con un PIN de su elección o borrar por completo los datos almacenados. Una versión reciente introduce un mecanismo de limitación de internet que ralentiza deliberadamente la conexión de la víctima. Esto se logra iniciando la descarga de un archivo masivo alojado en Hugging Face. El proceso de descarga se activa automáticamente cuando ciertas aplicaciones de juegos, incluidas las ediciones especiales de Free Fire, están activas o cuando el atacante especifica aplicaciones objetivo alternativas a través del servidor de control.
Funcionalidad de ransomware integrada
SURXRAT incorpora una función de bloqueo similar a la de un ransomware que muestra un mensaje a pantalla completa y protege el dispositivo con un PIN. Los atacantes pueden exigir el pago, monitorear intentos de ingreso incorrecto del PIN en tiempo real y desbloquear el dispositivo remotamente si así lo desean. Estas funciones se utilizan comúnmente para la extorsión financiera.
Impacto e implicaciones de seguridad
Como amenaza multifuncional para Android, SURXRAT combina robo de datos, espionaje, control remoto y operaciones de ransomware en un único marco. Las consecuencias para las víctimas pueden incluir fraude financiero, robo de identidad, vulneración de cuentas, violaciones de la privacidad, interrupción operativa y mayor exposición a ciberataques secundarios.
El malware para Android, como SURXRAT, se distribuye comúnmente a través de aplicaciones engañosas alojadas en plataformas no oficiales o sitios web maliciosos. Los actores de amenazas suelen camuflar las cargas útiles como aplicaciones legítimas, juegos modificados, software pirateado o actualizaciones de software. Los métodos de distribución también incluyen enlaces de phishing enviados por SMS, correo electrónico, redes sociales y plataformas de mensajería. En otras campañas, los atacantes explotan vulnerabilidades del sistema o distribuyen publicidad maliciosa. En la mayoría de los casos, el éxito de la infección depende de la interacción del usuario, que, sin saberlo, autoriza la ejecución de la aplicación maliciosa.
