תוכנה זדונית ניידת של SpyAgent
מסע פרסום חדש של תוכנות זדוניות לנייד, המכונה SpyAgent, החל למקד למשתמשי אנדרואיד בדרום קוריאה, ומהווה איום ייחודי על ידי סריקת תמונות המכשיר לאיתור מפתחות זיכרון. חוקרים ציינו התרחבות בטווח ההגעה שלו, ומשפיעה כעת גם על משתמשים בבריטניה.
התוכנה הזדונית מופצת באמצעות יישומי אנדרואיד מזויפים שנראים לגיטימיים, מחקים יישומי בנקאות, ממשלה, סטרימינג ושירותים. מתחילת השנה זוהו מעל 280 בקשות הונאה בקשר לקמפיין זה.
תוכן העניינים
SpyAgent מציג תכונות מתוחכמות לקצירת נתונים
המתקפה מתחילה בהודעות SMS המכילות קישורים לא בטוחים שמבקשים מהמשתמשים להוריד אפליקציות כקובצי APK מאתרים מטעים. לאחר ההתקנה, יישומים אלו מבקשים הרשאות פולשניות לגשת לנתונים במכשיר, כולל אנשי קשר, הודעות SMS, תמונות ומידע רגיש אחר, אשר משותף לאחר מכן עם שרת הנשלט על ידי התוקפים.
אחת היכולות המדאיגות ביותר של התוכנה הזדונית היא השימוש שלה בזיהוי תווים אופטי (OCR) ללכידת מפתחות זיכרון - ביטויי שחזור המאפשרים למשתמשים לשחזר גישה לארנקי המטבעות הקריפטוגרפיים שלהם. אם לתוקפים יש גישה למפתחות אלה, הם יכולים להשתלט על הארנקים של הקורבנות ולאסוף את כל הכספים המאוחסנים בתוכם.
שלטים מצביעים לעבר SpyAgent המכוון למשתמשי iOS
לתשתית ה-Command-and-Control (C2) היו ליקויי אבטחה משמעותיים, כולל גישה בלתי מוגבלת לספריית השורש של האתר וחשיפת נתוני הקורבנות. השרת מכיל גם פאנל מנהלים המאפשר שליטה מרחוק במכשירים נגועים. יש לציין כי נוכחותו של אייפון של אפל המריץ את iOS 15.8.2 עם שפת המערכת שלו מוגדרת לסינית פשוטה ('zh') מרמזת על כך שייתכן שיתמקדו גם במשתמשי iOS.
בתחילה, התוכנה הזדונית תקשרה עם שרת C2 באמצעות בקשות HTTP בסיסיות, שאמנם היה יעיל, אך הקל על כלי אבטחה לזהות ולחסום. עם זאת, בשינוי אסטרטגי, התוכנה הזדונית משתמשת כעת בחיבורי WebSocket, ומאפשרת תקשורת יעילה יותר, בזמן אמת ודו-כיוונית עם שרת C2, תוך שהיא מקשה על זיהוי כלי ניטור מסורתיים מבוססי HTTP.
מכשירים ניידים נותרו יעד בולט להתקפות סייבר
בתחילת 2024, מומחי אבטחת סייבר חשפו טרויאני חדש לגישה מרחוק של אנדרואיד (RAT) הידוע בשם CraxsRAT, אשר פונה למשתמשי בנקאות במלזיה לפחות מאז פברואר 2024 דרך אתרי דיוג. ראוי גם לציין כי קמפיינים של CraxsRAT זוהו בעבר בסינגפור כבר באפריל 2023.
CraxsRAT היא משפחת תוכנות זדוניות ידועה בקטגוריית כלי ניהול מרחוק של Android (RAT), המציעה יכולות כמו שליטה מרחוק במכשירים ופונקציות של תוכנות ריגול. אלה כוללים רישום מקשים, ביצוע מחוות והקלטת וידאו ממצלמות, מסכים ושיחות. משתמשים שמורידים אפליקציות המכילות CraxsRAT עלולים לעמוד בפני גניבת אישורים ומשיכת כספים בלתי מורשית.
