В Telegram мошенники стали активно распространять Android-троян под названием «SURXRAT». По словам аналитиков, он функционирует по модели «malware-as-a-service», передает «Cyble Research and Intelligence Labs».
Специалисты рассказали, что впервые вирус был замечен в Индонезии, когда один из пользователей запустил Telegram-канал с продажей сервиса в конце 2024 года. Вокруг ПО выстроили полноценную коммерческую модель с тарифами Reseller и Partner.
К примеру, пользователи могут создавать собственные сборки приложения, а сама управляющая инфраструктура остается под контролем разработчика. В рекламных материалах также упоминается свыше 1300 зарегистрированных аккаунтов, что говорит о большой сети мошенников.
Сам по себе SURXRAT представляет из себя расширенную платформу удаленного доступа (RAT). После установки ПО запрашивает широкий набор разрешений и использует Accessibility Services для закрепления в системе. Вирус не только может читать СМС, контакты и журналы вызовов, но также передавать данные из Gmail, геолокацию, сетевые параметры и прочее.
Связь с серверами осуществляется через Firebase Realtime Database. В связи с этим весь вредоносный трафик шифруется под легитимные облачные сервисы Google. Каждому зараженному устройству присваивается уникальный UUID, чтобы мошенники могли управлять им в режиме реального времени.
По словам специалистов, чтобы обезопасить себя необходимо помнить, что скачивать приложения из неизвестных источников категорически нельзя.
До этого юрист Александр Хаминский рассказал, что в России появились сведения о возможном признании мессенджера Telegram экстремистским.