SpyAgent Mobile Malware
Nová kampaň proti mobilnímu malwaru, známá jako SpyAgent, se začala zaměřovat na uživatele Androidu v Jižní Koreji, což představuje jedinečnou hrozbu skenováním obrázků zařízení pro mnemotechnické klíče. Výzkumníci zaznamenali rozšíření jeho dosahu, které nyní ovlivňuje i uživatele ve Spojeném království.
Malware je distribuován prostřednictvím falešných aplikací pro Android, které se zdají být legitimní a napodobují bankovní, vládní, streamovací a obslužné aplikace. Od začátku roku bylo v souvislosti s touto kampaní identifikováno přes 280 podvodných aplikací.
Obsah
SpyAgent předvádí sofistikované funkce pro sběr dat
Útok začíná SMS zprávami obsahujícími nebezpečné odkazy, které uživatele vyzývají ke stažení aplikací jako souborů APK z podvodných webů. Po instalaci tyto aplikace požadují rušivá oprávnění pro přístup k datům na zařízení, včetně kontaktů, zpráv SMS, fotografií a dalších citlivých informací, které jsou poté sdíleny se serverem ovládaným útočníky.
Jednou z nejvíce znepokojivých schopností malwaru je použití optického rozpoznávání znaků (OCR) k zachycení mnemotechnických klíčů – frází pro obnovení, které uživatelům umožňují obnovit přístup ke svým kryptoměnovým peněženkám. Pokud mají útočníci přístup k těmto klíčům, mohou převzít kontrolu nad peněženkami obětí a shromáždit všechny prostředky v nich uložené.
Známky ukazují směr SpyAgent zaměřený na uživatele iOS
Infrastruktura Command-and-Control (C2) měla významné bezpečnostní chyby, včetně neomezeného přístupu do kořenového adresáře webu a vystavení dat obětí. Server také obsahuje administrátorský panel, který umožňuje vzdálené ovládání infikovaných zařízení. Přítomnost Apple iPhone se systémem iOS 15.8.2 s jazykem systému nastaveným na zjednodušenou čínštinu („zh“) naznačuje, že cílem mohou být také uživatelé iOS.
Zpočátku malware komunikoval se serverem C2 prostřednictvím základních požadavků HTTP, což, i když bylo účinné, usnadnilo bezpečnostním nástrojům detekci a blokování. V rámci strategického posunu však malware nyní využívá připojení WebSocket, což umožňuje efektivnější obousměrnou komunikaci se serverem C2 v reálném čase a zároveň ztěžuje detekci tradičními monitorovacími nástroji založenými na HTTP.
Mobilní zařízení zůstávají hlavním cílem kybernetických útoků
Na začátku roku 2024 odborníci na kybernetickou bezpečnost odhalili nový trojan Android Remote Access Trojan (RAT) známý jako CraxsRAT, který se zaměřuje na uživatele bankovnictví v Malajsii minimálně od února 2024 prostřednictvím phishingových webů. Je také pozoruhodné, že kampaně CraxsRAT byly dříve identifikovány v Singapuru již v dubnu 2023.
CraxsRAT je známá rodina malwaru v kategorii Android Remote Administration Tools (RAT), která nabízí funkce jako vzdálené ovládání zařízení a funkce spywaru. Patří mezi ně keylogging, provádění gest a nahrávání videa z kamer, obrazovek a hovorů. Uživatelé, kteří si stahují aplikace obsahující CraxsRAT, mohou čelit krádeži pověření a neoprávněnému výběru svých prostředků.
