SURXRAT Android RAT
A Cyble Research and Intelligence Labs elemzése szerint a SURXRAT Android RAT tovább fejlődött, és olyan mintákat is észleltek benne, amelyek nagy méretű, külső LLM-modulok letöltésére utalnak. Ez a viselkedés jelentős mértékben eltér a hagyományos RAT-funkcióktól, és arra utal, hogy a fejlesztők kísérleteznek AI-asszisztált képességekkel vagy más, kreatív célokkal, nem csak a megszokott adatkinyerés és távoli vezérlés terén.
A SURXRAT a Telegramon malware-as-a-service formában árusított termék, licenc- és partneri szintekkel, így több készítő és terjesztő is előállíthat saját buildet az operátortól kapott eszközkészlettel. Hagyományos RAT-funkciói közé tartozik az SMS-üzenetek, névjegyek, hívásnaplók, böngészési előzmények, helyadatok és más érzékeny információk begyűjtése, a Firebase-alapú C2-kommunikáció használata és akár rendszer-távoli vezérlés is, beleértve audió- és videó-célú parancsokat vagy képernyőzár-extort.
A legújabb mintákban azonban azt is azonosították, hogy a malware feltételesen letölt egy nagy méretű LLM modult, például amikor bizonyos játékok futnak a fertőzött eszközön vagy a támadó utasításaira, ami nem jellemző egy klasszikus RAT-ra. Cyble szakértői szerint ennek az lehet az oka, hogy a LLM-modulokat új célokra próbálják felhasználni, például eszköz-teljesítmény manipulálásra, a háttérben zajló rosszindulatú tevékenység elrejtésére, vagy akár AI-vezérelt automatizáció vagy átverési stratégiák kidolgozására. Ez a lépés azt mutatja, hogy a mobilos malware-fejlesztők már nem csak klasszikus lopási és távoli vezérlési funkciókat kínálnak, hanem kísérleteznek az AI eszközök integrálásával is, ami tovább bonyolítja a mobil fenyegetési képet.
