能窃密、远控、勒索式屏幕锁定,利用大模型做掩护智能切换!新型Android木马SURXRAT

admin
admin
admin
0
文章
0
评论
2026-03-03 05:01:44 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档介绍一款名为SURXRAT的Android远程访问木马,以MaaS模式销售。其特点是在特定游戏运行时下载大型LLM模块,可能用于干扰性能或掩盖恶意行为。该木马重用ArsinkRAT框架,具备完整的数据窃取、远程控制及勒索屏幕锁定功能,滥用无障碍服务实现持久化,展示了AI与恶意软件结合的新威胁趋势。 综合评分: 87 文章分类: 恶意软件,移动安全,威胁情报,AI安全,逆向分析

cover_image

能窃密、远控、勒索式屏幕锁定,利用大模型做掩护智能切换!新型Android木马SURXRAT

原创

suntiger suntiger

二进制空间安全

2026年2月26日 15:58 北京

将二进制空间安全设为”星标⭐️”

第一时间收到文章更新

#

SURXRAT是一款以商业化模式运作的Android 远程访问木马(RAT)。该恶意软件以SURXRAT V5为品牌,通过Telegram 上的恶意软件即服务(MaaS) 网络进行销售。以下是SURXRAT V5的广告:

SURXRAT运营方的机器人推送:

从源码结构分析,SURXRAT很可能重用并扩展了ArsinkRAT框架并快速引入了新功能, 比较有意思的是, SURXRAT木马可按条件从Hugging Face 仓库下载一个超过 23GB的大型LLM 模块。在移动设备上部署如此体量的LLM并不常见,其触发条件包括:

(1).受感染设备上运行特定游戏应用,例如:Free Fire MAX x JUJUTSU KAISEN(com.dts.freefiremax) 、Free Fire x JUJUTSU KAISEN(com.dts.freefireth)

(2).Free Fire x JUJUTSU KAISEN(com.dts.freefireth

根据评估,该LLM模块可能用于多种实验性目的, 例如:

#

  1. 故意制造设备或网络延迟,影响游戏体验,可能服务于干扰或付费作弊等场景;

  2. 降低系统性能,使受害者将异常归咎于设备性能,从而掩盖 SURXRAT 在后台的活动;

  3. 为未来能力铺路:集成 LLM 暗示可能用于 AI 辅助自动化、自适应社会工程或更强规避策略。

这种有条件、有针对性的LLM 部署 表明,SURXRAT运营方正在将人工智能作为扩展其操作灵活性的实验手段。

#

除 LLM 实验外,SURXRAT仍是一款功能完整的监控与远程控制平台

权限与持久化:

  • 安装后会诱导用户授予高风险权限,包括:位置、通讯录、短信、存储等。
  • 进一步诱使用户开启 Android 无障碍服务(Accessibility Services),以便在无需持续交互的情况下监控屏幕并自动化操作。

C&C与数据窃取:

  • 连接至 Firebase 实时数据库:hxxps://xrat-sisuriya-default-rtdb.firebaseio[.]com使用的数据库引用名为 「arsinkRAT」,再次印证与 ArsinkRAT 的渊源。
  • 为设备生成随机UUID作为唯一标识,随后开始数据窃取。

窃取的数据类型包括:

  • 短信、通讯录、通话记录
  • Gmail 账户数据、浏览器历史、剪贴板
  • 设备品牌与型号、Android 版本、电池状态
  • SIM 信息、网络信息、蜂窝情报、Wi-Fi 历史
  • 公网 IP 地址

这些数据可用于:凭据窃取、OTP 拦截、用户画像以及为金融欺诈或账户接管做准备。

远程控制能力:

  • 通过持久化后台服务与基于Firebase 的C&C近实时同步并执行指令。
  • 攻击者可:录音、拍照、枚举文件、获取已安装应用列表、发短信、拨打电话、控制手电筒、更换壁纸、擦除存储、远程解锁设备等。

勒索式屏幕锁定:

  • 内置勒索式屏幕锁定器。激活后会在设备上显示攻击者定义的全屏锁定界面和 PIN 要求。
  • 错误PIN尝试会被记录并上传到后端,攻击者可实时观察受害者行为。
  • 攻击者可随时远程解除锁定。
  • 该功能使SURXRAT运营方可根据受害者价值在监控、欺诈与直接勒索之间灵活切换,形成混合变现模式。

以下是勒索式屏幕锁实现代码:

#

(全文完)

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:二进制空间安全 suntiger suntiger《能窃密、远控、勒索式屏幕锁定,利用大模型做掩护智能切换!新型Android木马SURXRAT》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0