SpyAgent برنامج ضار للأجهزة المحمولة
بدأت حملة جديدة للبرمجيات الخبيثة على الأجهزة المحمولة، تُعرف باسم SpyAgent، في استهداف مستخدمي Android في كوريا الجنوبية، وتشكل تهديدًا فريدًا من نوعه من خلال مسح صور الأجهزة بحثًا عن مفاتيح التذكر. وقد لاحظ الباحثون توسعًا في نطاقها، حيث تؤثر الآن على المستخدمين في المملكة المتحدة أيضًا.
يتم توزيع البرامج الضارة من خلال تطبيقات أندرويد مزيفة تبدو وكأنها شرعية، حيث تحاكي التطبيقات المصرفية والحكومية وتطبيقات البث والخدمات الخدمية. منذ بداية العام، تم تحديد أكثر من 280 تطبيقًا احتياليًا فيما يتعلق بهذه الحملة.
جدول المحتويات
SpyAgent يستعرض ميزات متطورة لجمع البيانات
يبدأ الهجوم برسائل نصية قصيرة تحتوي على روابط غير آمنة تحث المستخدمين على تنزيل التطبيقات كملفات APK من مواقع ويب خادعة. وبمجرد تثبيتها، تطلب هذه التطبيقات أذونات تطفلية للوصول إلى البيانات الموجودة على الجهاز، بما في ذلك جهات الاتصال والرسائل النصية القصيرة والصور وغيرها من المعلومات الحساسة، والتي تتم مشاركتها بعد ذلك مع خادم يتحكم فيه المهاجمون.
ومن بين أكثر القدرات المثيرة للقلق التي يتمتع بها البرنامج الخبيث استخدامه للتعرف الضوئي على الحروف (OCR) لالتقاط المفاتيح التذكيرية ـ عبارات الاسترداد التي تسمح للمستخدمين باستعادة الوصول إلى محافظ العملات المشفرة الخاصة بهم. وإذا تمكن المهاجمون من الوصول إلى هذه المفاتيح، فيمكنهم السيطرة على محافظ الضحايا وجمع كل الأموال المخزنة فيها.
تشير الدلائل إلى أن SpyAgent يستهدف مستخدمي iOS
كانت البنية التحتية للقيادة والتحكم (C2) تعاني من عيوب أمنية كبيرة، بما في ذلك الوصول غير المقيد إلى الدليل الجذر للموقع وكشف بيانات الضحايا. يحتوي الخادم أيضًا على لوحة إدارة تمكن من التحكم عن بعد في الأجهزة المصابة. والجدير بالذكر أن وجود جهاز iPhone من إنتاج شركة Apple يعمل بنظام التشغيل iOS 15.8.2 مع ضبط لغة النظام على الصينية المبسطة ('zh') يشير إلى أن مستخدمي iOS قد يكونون مستهدفين أيضًا.
في البداية، كان البرنامج الخبيث يتواصل مع خادم C2 من خلال طلبات HTTP الأساسية، والتي على الرغم من فعاليتها، إلا أنها جعلت من السهل على أدوات الأمان اكتشافها وحظرها. ومع ذلك، في تحول استراتيجي، يستخدم البرنامج الخبيث الآن اتصالات WebSocket، مما يتيح اتصالاً ثنائي الاتجاه أكثر كفاءة وفي الوقت الفعلي مع خادم C2 بينما يجعل من الصعب أيضًا على أدوات المراقبة التقليدية القائمة على HTTP اكتشافها.
تظل الأجهزة المحمولة هدفًا بارزًا للهجمات الإلكترونية
في أوائل عام 2024، اكتشف خبراء الأمن السيبراني برنامجًا جديدًا لتروجان الوصول عن بُعد لنظام Android (RAT) يُعرف باسم CraxsRAT، والذي يستهدف مستخدمي البنوك في ماليزيا منذ فبراير 2024 على الأقل من خلال مواقع التصيد الاحتيالي. ومن الجدير بالذكر أيضًا أن حملات CraxsRAT تم تحديدها سابقًا في سنغافورة في وقت مبكر من أبريل 2023.
CraxsRAT هي عائلة برامج ضارة معروفة ضمن فئة أدوات الإدارة عن بعد لنظام Android (RAT)، وتوفر إمكانيات مثل التحكم عن بعد في الأجهزة ووظائف برامج التجسس. وتشمل هذه تسجيل المفاتيح وتنفيذ الإيماءات وتسجيل الفيديو من الكاميرات والشاشات والمكالمات. قد يواجه المستخدمون الذين يقومون بتنزيل التطبيقات التي تحتوي على CraxsRAT سرقة بيانات الاعتماد وسحب أموالهم دون إذن.
