SpyAgent Mobile Malware
Una nova campanya de programari maliciós per a mòbils, coneguda com SpyAgent, ha començat a dirigir-se als usuaris d'Android a Corea del Sud, i suposa una amenaça única en escanejar imatges del dispositiu per buscar claus mnemotècniques. Els investigadors han observat una expansió en el seu abast, que ara també afecta els usuaris del Regne Unit.
El programari maliciós es distribueix a través d'aplicacions falses d'Android que semblen legítimes, imiten aplicacions bancàries, governamentals, de streaming i d'utilitat. Des de principis d'any, s'han identificat més de 280 sol·licituds fraudulentes en relació amb aquesta campanya.
Taula de continguts
SpyAgent demostra funcions sofisticades per recollir dades
L'atac comença amb missatges SMS que contenen enllaços no segurs que demanen als usuaris que baixin aplicacions com a fitxers APK de llocs web enganyosos. Un cop instal·lades, aquestes aplicacions sol·liciten permisos intrusius per accedir a les dades del dispositiu, inclosos contactes, missatges SMS, fotos i altra informació sensible, que després es comparteix amb un servidor controlat pels atacants.
Una de les capacitats més preocupants del programari maliciós és l'ús del reconeixement òptic de caràcters (OCR) per capturar claus mnemotècniques: frases de recuperació que permeten als usuaris restablir l'accés a les seves carteres de criptomoneda. Si els atacants tenen accés a aquestes claus, poden prendre el control de les carteres de les víctimes i recollir tots els fons emmagatzemats al seu interior.
Els signes apunten cap a SpyAgent orientat als usuaris d'iOS
La infraestructura de comandament i control (C2) tenia defectes de seguretat importants, com ara l'accés sense restriccions al directori arrel del lloc i l'exposició de les dades de les víctimes. El servidor també conté un panell d'administrador que permet el control remot dels dispositius infectats. En particular, la presència d'un iPhone d'Apple amb iOS 15.8.2 amb l'idioma del sistema configurat en xinès simplificat ('zh') suggereix que els usuaris d'iOS també poden estar orientats.
Inicialment, el programari maliciós es comunicava amb el servidor C2 mitjançant sol·licituds HTTP bàsiques, que, tot i ser efectives, facilitaven la detecció i el bloqueig de les eines de seguretat. No obstant això, en un canvi estratègic, el programari maliciós ara utilitza connexions WebSocket, permetent una comunicació més eficient, en temps real i bidireccional amb el servidor C2, alhora que dificulta la detecció de les eines de monitorització tradicionals basades en HTTP.
Els dispositius mòbils segueixen sent un objectiu destacat per als ciberatacs
A principis de 2024, els experts en ciberseguretat van descobrir un nou troià d'accés remot d'Android (RAT) conegut com a CraxsRAT, que s'ha dirigit als usuaris de la banca a Malàisia des d'almenys el febrer de 2024 a través de llocs web de pesca. També cal destacar que les campanyes de CraxsRAT s'han identificat prèviament a Singapur des de l'abril de 2023.
CraxsRAT és una família de programari maliciós coneguda dins de la categoria Eines d'administració remota d'Android (RAT), que ofereix funcions com ara el control remot del dispositiu i les funcions de programari espia. Aquests inclouen el registre de tecles, l'execució de gestos i la gravació de vídeo de càmeres, pantalles i trucades. Els usuaris que baixin aplicacions que contenen CraxsRAT poden enfrontar-se al robatori de credencials i a la retirada no autoritzada dels seus fons.
