SpyAgent Mobile Malware
Μια νέα καμπάνια κακόβουλου λογισμικού για κινητά, γνωστή ως SpyAgent, έχει αρχίσει να στοχεύει χρήστες Android στη Νότια Κορέα, αποτελώντας μια μοναδική απειλή σαρώνοντας εικόνες συσκευής για μνημονικά κλειδιά. Οι ερευνητές έχουν σημειώσει μια επέκταση στην εμβέλειά του, επηρεάζοντας πλέον και τους χρήστες στο Ηνωμένο Βασίλειο.
Το κακόβουλο λογισμικό διανέμεται μέσω ψεύτικων εφαρμογών Android που φαίνεται να είναι νόμιμες, μιμούνται τραπεζικές, κυβερνητικές, συνεχείς και βοηθητικές εφαρμογές. Από την αρχή του έτους, έχουν εντοπιστεί περισσότερες από 280 δόλιες αιτήσεις σε σχέση με αυτήν την εκστρατεία.
Πίνακας περιεχομένων
Το SpyAgent επιδεικνύει εξελιγμένα χαρακτηριστικά για τη συλλογή δεδομένων
Η επίθεση ξεκινά με μηνύματα SMS που περιέχουν μη ασφαλείς συνδέσμους που προτρέπουν τους χρήστες να κατεβάσουν εφαρμογές ως αρχεία APK από παραπλανητικούς ιστότοπους. Μόλις εγκατασταθούν, αυτές οι εφαρμογές ζητούν παρεμβατικές άδειες για πρόσβαση σε δεδομένα στη συσκευή, συμπεριλαμβανομένων επαφών, μηνυμάτων SMS, φωτογραφιών και άλλων ευαίσθητων πληροφοριών, οι οποίες στη συνέχεια κοινοποιούνται σε έναν διακομιστή που ελέγχεται από τους εισβολείς.
Μία από τις πιο ανησυχητικές δυνατότητες του κακόβουλου λογισμικού είναι η χρήση της οπτικής αναγνώρισης χαρακτήρων (OCR) για τη λήψη μνημονικών κλειδιών—φράσεις ανάκτησης που επιτρέπουν στους χρήστες να επαναφέρουν την πρόσβαση στα πορτοφόλια κρυπτονομισμάτων τους. Εάν οι εισβολείς έχουν πρόσβαση σε αυτά τα κλειδιά, μπορούν να πάρουν τον έλεγχο των πορτοφολιών των θυμάτων και να συγκεντρώσουν όλα τα χρήματα που είναι αποθηκευμένα σε αυτά.
Τα σημάδια δείχνουν προς το SpyAgent που στοχεύει χρήστες iOS
Η υποδομή Command-and-Control (C2) είχε σημαντικά ελαττώματα ασφαλείας, συμπεριλαμβανομένης της απεριόριστης πρόσβασης στον ριζικό κατάλογο του ιστότοπου και της έκθεσης των δεδομένων των θυμάτων. Ο διακομιστής περιέχει επίσης έναν πίνακα διαχειριστή που επιτρέπει τον απομακρυσμένο έλεγχο των μολυσμένων συσκευών. Συγκεκριμένα, η παρουσία ενός iPhone της Apple που εκτελεί iOS 15.8.2 με τη γλώσσα του συστήματος ρυθμισμένη σε Απλοποιημένα Κινεζικά («zh») υποδηλώνει ότι οι χρήστες iOS μπορεί επίσης να στοχοποιηθούν.
Αρχικά, το κακόβουλο λογισμικό επικοινωνούσε με τον διακομιστή C2 μέσω βασικών αιτημάτων HTTP, τα οποία, ενώ ήταν αποτελεσματικά, διευκόλυνε τον εντοπισμό και τον αποκλεισμό των εργαλείων ασφαλείας. Ωστόσο, σε μια στρατηγική αλλαγή, το κακόβουλο λογισμικό χρησιμοποιεί πλέον συνδέσεις WebSocket, επιτρέποντας πιο αποτελεσματική, σε πραγματικό χρόνο, αμφίδρομη επικοινωνία με τον διακομιστή C2, ενώ παράλληλα καθιστά δυσκολότερο τον εντοπισμό των παραδοσιακών εργαλείων παρακολούθησης που βασίζονται σε HTTP.
Οι φορητές συσκευές παραμένουν σημαντικός στόχος για κυβερνοεπιθέσεις
Στις αρχές του 2024, ειδικοί στον κυβερνοχώρο αποκάλυψαν ένα νέο Android Remote Access Trojan (RAT) γνωστό ως CraxsRAT, το οποίο στοχεύει τραπεζικούς χρήστες στη Μαλαισία τουλάχιστον από τον Φεβρουάριο του 2024 μέσω ιστοτόπων phishing. Αξίζει επίσης να σημειωθεί ότι οι καμπάνιες CraxsRAT είχαν εντοπιστεί στο παρελθόν στη Σιγκαπούρη ήδη από τον Απρίλιο του 2023.
Το CraxsRAT είναι μια πολύ γνωστή οικογένεια κακόβουλου λογισμικού στην κατηγορία Εργαλεία απομακρυσμένης διαχείρισης Android (RAT), που προσφέρει δυνατότητες όπως απομακρυσμένο έλεγχο συσκευών και λειτουργίες spyware. Αυτά περιλαμβάνουν καταγραφή πλήκτρων, εκτέλεση χειρονομιών και εγγραφή βίντεο από κάμερες, οθόνες και κλήσεις. Οι χρήστες που κάνουν λήψη εφαρμογών που περιέχουν CraxsRAT ενδέχεται να αντιμετωπίσουν κλοπή διαπιστευτηρίων και μη εξουσιοδοτημένη απόσυρση των χρημάτων τους.
