Мобилен зловреден софтуер SpyAgent
Нова кампания за злонамерен софтуер за мобилни устройства, известна като SpyAgent, започна да се насочва към потребителите на Android в Южна Корея, представлявайки уникална заплаха чрез сканиране на изображения на устройства за мнемонични ключове. Изследователите отбелязват разширяване на обхвата му, което сега засяга и потребителите в Обединеното кралство.
Зловреден софтуер се разпространява чрез фалшиви приложения за Android, които изглеждат легитимни, имитиращи банкови, правителствени, стрийминг и помощни приложения. От началото на годината във връзка с тази кампания са идентифицирани над 280 измамни приложения.
Съдържание
SpyAgent демонстрира сложни функции за събиране на данни
Атаката започва с SMS съобщения, съдържащи опасни връзки, които подканват потребителите да изтеглят приложения като APK файлове от измамни уебсайтове. Веднъж инсталирани, тези приложения изискват натрапчиви разрешения за достъп до данни на устройството, включително контакти, SMS съобщения, снимки и друга чувствителна информация, която след това се споделя със сървър, контролиран от нападателите.
Една от най-тревожните възможности на зловреден софтуер е използването на оптично разпознаване на символи (OCR) за улавяне на мнемонични ключове – фрази за възстановяване, които позволяват на потребителите да възстановят достъпа до своите портфейли с криптовалута. Ако нападателите имат достъп до тези ключове, те могат да поемат контрола върху портфейлите на жертвите и да съберат всички средства, съхранявани в тях.
Знаците сочат към SpyAgent, насочен към потребители на iOS
Инфраструктурата за командване и контрол (C2) имаше значителни пропуски в сигурността, включително неограничен достъп до главната директория на сайта и излагане на данни на жертвите. Сървърът също така съдържа администраторски панел, който позволява дистанционно управление на заразените устройства. Трябва да се отбележи, че наличието на Apple iPhone, работещ с iOS 15.8.2 със системен език, зададен на опростен китайски („zh“), предполага, че потребителите на iOS също могат да бъдат насочени.
Първоначално злонамереният софтуер комуникира със сървъра C2 чрез основни HTTP заявки, които, макар и ефективни, улесняват откриването и блокирането на инструментите за сигурност. Въпреки това, в стратегическа промяна, злонамереният софтуер сега използва WebSocket връзки, позволявайки по-ефективна двупосочна комуникация в реално време със сървъра C2, като същевременно затруднява откриването на традиционните HTTP-базирани инструменти за наблюдение.
Мобилните устройства остават основна цел за кибератаки
В началото на 2024 г. експертите по киберсигурност разкриха нов троянски кон за отдалечен достъп на Android (RAT), известен като CraxsRAT, който е насочен към банкови потребители в Малайзия поне от февруари 2024 г. чрез фишинг уебсайтове. Също така трябва да се отбележи, че кампаниите CraxsRAT са идентифицирани преди това в Сингапур още през април 2023 г.
CraxsRAT е добре познато семейство зловреден софтуер в категорията Инструменти за отдалечено администриране на Android (RAT), предлагащо възможности като дистанционно управление на устройства и функции за шпиониране. Те включват keylogging, изпълнение на жестове и запис на видео от камери, екрани и разговори. Потребителите, които изтеглят приложения, съдържащи CraxsRAT, може да се сблъскат с кражба на идентификационни данни и неразрешено изтегляне на техните средства.
