SpyAgent Mobile Malware
En ny mobil malware-kampagne, kendt som SpyAgent, er begyndt at målrette mod Android-brugere i Sydkorea, hvilket udgør en unik trussel ved at scanne enhedsbilleder for mnemoniske nøgler. Forskere har bemærket en udvidelse af rækkevidden, som nu også påvirker brugere i Storbritannien.
Malwaren distribueres gennem falske Android-applikationer, der ser ud til at være legitime, der efterligner bank-, regerings-, streaming- og hjælpeapplikationer. Siden begyndelsen af året er der identificeret over 280 bedrageriske ansøgninger i forbindelse med denne kampagne.
Indholdsfortegnelse
SpyAgent demonstrerer sofistikerede funktioner til at høste data
Angrebet begynder med SMS-beskeder, der indeholder usikre links, der beder brugerne om at downloade applikationer som APK-filer fra vildledende websteder. Når de er installeret, anmoder disse applikationer om påtrængende tilladelser til at få adgang til data på enheden, herunder kontakter, SMS-beskeder, fotos og andre følsomme oplysninger, som derefter deles med en server, der kontrolleres af angriberne.
En af malwarens mest bekymrende egenskaber er dens brug af optisk tegngenkendelse (OCR) til at fange mnemoniske nøgler – gendannelsessætninger, der giver brugerne mulighed for at gendanne adgangen til deres kryptovaluta-punge. Hvis angriberne har adgang til disse nøgler, kan de tage kontrol over ofrenes tegnebøger og samle alle de midler, der er gemt i dem.
Tegn peger mod SpyAgent, der er målrettet mod iOS-brugere
Command-and-Control (C2)-infrastrukturen havde betydelige sikkerhedsfejl, herunder ubegrænset adgang til webstedets rodmappe og eksponering af offerdata. Serveren indeholder også et administratorpanel, der muliggør fjernstyring af inficerede enheder. Navnlig tilstedeværelsen af en Apple iPhone, der kører iOS 15.8.2 med dets systemsprog indstillet til forenklet kinesisk ('zh'), tyder på, at iOS-brugere også kan være målrettet.
Til at begynde med kommunikerede malwaren med C2-serveren gennem grundlæggende HTTP-anmodninger, som, selvom de var effektive, gjorde det nemmere for sikkerhedsværktøjer at opdage og blokere. Men i et strategisk skift bruger malwaren nu WebSocket-forbindelser, hvilket muliggør mere effektiv tovejskommunikation i realtid med C2-serveren, samtidig med at det gør det sværere for traditionelle HTTP-baserede overvågningsværktøjer at opdage.
Mobile enheder er fortsat et fremtrædende mål for cyberangreb
I begyndelsen af 2024 afslørede cybersikkerhedseksperter en ny Android Remote Access Trojan (RAT) kendt som CraxsRAT, som har været målrettet mod bankbrugere i Malaysia siden i hvert fald februar 2024 gennem phishing-websteder. Det er også bemærkelsesværdigt, at CraxsRAT -kampagner tidligere er blevet identificeret i Singapore så tidligt som i april 2023.
CraxsRAT er en velkendt malware-familie inden for kategorien Android Remote Administration Tools (RAT), der tilbyder funktioner såsom fjernbetjening af enheder og spyware-funktioner. Disse omfatter keylogging, udførelse af bevægelser og optagelse af video fra kameraer, skærme og opkald. Brugere, der downloader applikationer, der indeholder CraxsRAT, kan blive udsat for tyveri af legitimationsoplysninger og uautoriseret tilbagetrækning af deres penge.
