Газета.ру
ГЛАВНАЯНОВОСТИПОЛИТИКАБИЗНЕСОБЩЕСТВОАРМИЯМНЕНИЯКУЛЬТУРА
НовыеЛучшиеОбсуждаемыеКомментарииУчастники сайта
Рубрики
cookingКулинарияfamilyДети и семьяshowШоу-бизнесpoliticsПолитикаhealthЗдоровье
Моя лента
ЧАТЫЧАТЫОпросыОпросыБлогерыБлогерыГлас народаГлас народаПопулярноеПопулярноеОбсуждаемоеОбсуждаемое
Мессенджер МТО компанииО компанииО редакции ГлагоLО редакции ГлагоLНовостиНовостиПартнерамПартнерамРекламодателямРекламодателямОбратная связьОбратная связьПожаловаться на спамПожаловаться на спамСоглашениеСоглашениеРекомендательные технологииРекомендательные технологии

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", находящихся на территории Российской Федерации)

Газета.ру

8 715 подписчиков

Популярные статьи

Свежие комментарии

  • Алекс Сэм
    Через месяц китайцы выпустят клоны под другим названием в 3, 4 раза дешевлеСмартфоны Galaxy ...
  • я
    Шутка) На деле - все наоборотМишустин: цель "Е...
  • yury
    Собираемость ГРАБЕЖЕЙ за жилищно-коммунальные услуги...Хуснуллин: собира...

Cyble: в Telegram продают опасный вирус SURXRAT с тарифами Reseller и Partner

В киберпреступной среде зафиксировано активное распространение Android-трояна SURXRAT, функционирующего по модели "malware-as-a-service". О новой версии SURXRAT V5 сообщили аналитики Cyble Research and Intelligence Labs.

По данным исследователей, оператор из Индонезии запустил Telegram-канал с продажей сервиса еще в конце 2024 года, выстроив вокруг вредоноса полноценную коммерческую модель с тарифами Reseller и Partner.

Пользователи могут создавать собственные сборки приложения, тогда как управляющая инфраструктура остается под контролем разработчика. В рекламных материалах упоминается более 1300 зарегистрированных аккаунтов.

Функционально SURXRAT представляет собой расширенную платформу удаленного доступа (RAT). После установки зловред запрашивает широкий набор разрешений и использует Accessibility Services для закрепления в системе. Он способен собирать СМС, контакты, журналы вызовов, данные из Gmail, геолокацию, сетевые параметры, содержимое буфера обмена, историю браузера и файлы. Это позволяет перехватывать одноразовые коды и проводить атаки с использованием украденных учетных данных.

Вредонос также поддерживает активное управление устройством: совершение звонков, отправку СМС, открытие ссылок, блокировку экрана и удаление данных. В арсенале присутствует и экранный блокировщик с ПИН-кодом, характерный для вымогательских схем.

Связь с командными серверами осуществляется через Firebase Realtime Database, что позволяет маскировать вредоносный трафик под легитимные облачные сервисы Google. Каждому зараженному устройству присваивается уникальный UUID для управления в режиме реального времени.

Аналитики также выявили сходство кода с семейством ArsinkRAT, что может свидетельствовать об эволюционном развитии ранее существовавшей платформы.

Также внимание экспертов привлек экспериментальный механизм загрузки крупного LLM-модуля объемом более 23 ГБ с платформы Hugging Face. Его активация возможна при запуске определенных приложений или по команде сервера. Предполагается, что ИИ-компонент может использоваться для маскировки вредоносной активности, замедления работы устройства или автоматизации социальной инженерии.

 

Ссылка на первоисточник
наверх