بدافزار SpyAgent Mobile

یک کمپین بدافزار موبایل جدید، معروف به SpyAgent، کاربران اندروید را در کره جنوبی هدف قرار داده است و با اسکن تصاویر دستگاه برای یافتن کلیدهای یادگاری، تهدیدی منحصر به فرد است. محققان به گسترش دامنه آن اشاره کرده اند که اکنون بر کاربران بریتانیا نیز تأثیر گذاشته است.

این بدافزار از طریق برنامه‌های اندروید جعلی که ظاهراً قانونی هستند، توزیع می‌شود و از بانک‌ها، دولتی، استریم و برنامه‌های کاربردی تقلید می‌کند. از ابتدای سال تاکنون بیش از 280 درخواست تقلبی در ارتباط با این کمپین شناسایی شده است.

SpyAgent ویژگی های پیچیده ای را برای برداشت داده ها نشان می دهد

حمله با پیام‌های SMS حاوی لینک‌های ناامن آغاز می‌شود که کاربران را وادار می‌کند برنامه‌ها را به‌عنوان فایل‌های APK از وب‌سایت‌های فریبنده دانلود کنند. پس از نصب، این برنامه‌ها برای دسترسی به داده‌های روی دستگاه، از جمله مخاطبین، پیام‌های SMS، عکس‌ها و سایر اطلاعات حساس، مجوزهای مزاحم درخواست می‌کنند که سپس با سروری که توسط مهاجمان کنترل می‌شود به اشتراک گذاشته می‌شود.

یکی از نگران‌کننده‌ترین قابلیت‌های این بدافزار، استفاده از تشخیص کاراکتر نوری (OCR) برای گرفتن کلیدهای یادگاری است – عبارات بازیابی که به کاربران امکان می‌دهد دسترسی به کیف پول‌های ارز دیجیتال خود را بازگردانند. اگر مهاجمان به این کلیدها دسترسی داشته باشند، می توانند کنترل کیف پول قربانیان را در دست بگیرند و تمام وجوه ذخیره شده در آنها را جمع آوری کنند.

نشانه ها به سمت SpyAgent که کاربران iOS را هدف قرار می دهد اشاره می کند

زیرساخت Command-and-Control (C2) دارای نقص های امنیتی قابل توجهی بود، از جمله دسترسی نامحدود به فهرست اصلی سایت و قرار گرفتن در معرض داده های قربانی. سرور همچنین دارای یک پنل مدیر است که کنترل از راه دور دستگاه های آلوده را امکان پذیر می کند. قابل ذکر است، وجود یک آیفون اپل که iOS 15.8.2 را اجرا می کند و زبان سیستم آن روی چینی ساده شده ('zh') تنظیم شده است، نشان می دهد که کاربران iOS نیز ممکن است هدف قرار بگیرند.

در ابتدا، بدافزار از طریق درخواست‌های اولیه HTTP با سرور C2 ارتباط برقرار می‌کرد که اگرچه مؤثر بود، اما شناسایی و مسدود کردن ابزارهای امنیتی را آسان‌تر کرد. با این حال، در یک تغییر استراتژیک، بدافزار اکنون از اتصالات WebSocket استفاده می‌کند و ارتباط دوطرفه‌تر، هم‌زمان و کارآمدتر با سرور C2 را امکان‌پذیر می‌کند و در عین حال تشخیص ابزارهای نظارتی مبتنی بر HTTP سنتی را دشوارتر می‌کند.

دستگاه های تلفن همراه هدف اصلی حملات سایبری هستند

در اوایل سال 2024، کارشناسان امنیت سایبری یک تروجان جدید دسترسی از راه دور اندروید (RAT) معروف به CraxsRAT را کشف کردند که حداقل از فوریه 2024 از طریق وب سایت های فیشینگ، کاربران بانکی در مالزی را هدف قرار داده است. همچنین قابل توجه است که کمپین های CraxsRAT قبلاً در آوریل 2023 در سنگاپور شناسایی شده بودند.

CraxsRAT یک خانواده بدافزار شناخته شده در دسته ابزارهای مدیریت از راه دور Android (RAT) است که قابلیت هایی مانند کنترل از راه دور دستگاه و عملکردهای جاسوس افزار را ارائه می دهد. اینها شامل keylogging، اجرای ژست‌ها و ضبط ویدیو از دوربین‌ها، صفحه‌نمایش و تماس‌ها می‌شود. کاربرانی که برنامه های حاوی CraxsRAT را دانلود می کنند ممکن است با سرقت اعتبار و برداشت غیرمجاز وجوه خود مواجه شوند.