SpyAgent मोबाइल मैलवेयर

स्पाईएजेंट नामक एक नए मोबाइल मैलवेयर अभियान ने दक्षिण कोरिया में एंड्रॉइड उपयोगकर्ताओं को निशाना बनाना शुरू कर दिया है, जो डिवाइस की छवियों को स्मृति कुंजियों के लिए स्कैन करके एक अनूठा खतरा पैदा कर रहा है। शोधकर्ताओं ने इसकी पहुंच में विस्तार देखा है, जो अब यूके में उपयोगकर्ताओं को भी प्रभावित कर रहा है।

मैलवेयर नकली एंड्रॉयड एप्लीकेशन के माध्यम से वितरित किया जाता है जो बैंकिंग, सरकार, स्ट्रीमिंग और उपयोगिता एप्लीकेशन की नकल करते हुए वैध प्रतीत होते हैं। वर्ष की शुरुआत से, इस अभियान के संबंध में 280 से अधिक धोखाधड़ी वाले एप्लीकेशन की पहचान की गई है।

SpyAgent ने डेटा संग्रहण के लिए परिष्कृत सुविधाओं का प्रदर्शन किया

यह हमला असुरक्षित लिंक वाले एसएमएस संदेशों से शुरू होता है जो उपयोगकर्ताओं को भ्रामक वेबसाइटों से APK फ़ाइलों के रूप में एप्लिकेशन डाउनलोड करने के लिए प्रेरित करते हैं। एक बार इंस्टॉल हो जाने के बाद, ये एप्लिकेशन डिवाइस पर मौजूद डेटा तक पहुँचने के लिए घुसपैठिया अनुमतियाँ माँगते हैं, जिसमें संपर्क, एसएमएस संदेश, फ़ोटो और अन्य संवेदनशील जानकारी शामिल होती है, जिसे फिर हमलावरों द्वारा नियंत्रित सर्वर के साथ साझा किया जाता है।

मैलवेयर की सबसे चिंताजनक क्षमताओं में से एक है ऑप्टिकल कैरेक्टर रिकग्निशन (OCR) का उपयोग करके निमोनिक कुंजियों को कैप्चर करना - रिकवरी वाक्यांश जो उपयोगकर्ताओं को उनके क्रिप्टोकरेंसी वॉलेट तक पहुंच बहाल करने की अनुमति देते हैं। यदि हमलावरों के पास इन कुंजियों तक पहुंच है, तो वे पीड़ितों के वॉलेट पर नियंत्रण कर सकते हैं और उनमें संग्रहीत सभी फंड एकत्र कर सकते हैं।

संकेत मिले हैं कि SpyAgent iOS उपयोगकर्ताओं को निशाना बना रहा है

कमांड-एंड-कंट्रोल (C2) इंफ्रास्ट्रक्चर में महत्वपूर्ण सुरक्षा खामियां थीं, जिसमें साइट की रूट डायरेक्टरी तक अप्रतिबंधित पहुंच और पीड़ित डेटा का खुलासा शामिल है। सर्वर में एक एडमिनिस्ट्रेटर पैनल भी है जो संक्रमित डिवाइस के रिमोट कंट्रोल को सक्षम बनाता है। विशेष रूप से, iOS 15.8.2 पर चलने वाले Apple iPhone की मौजूदगी, जिसकी सिस्टम भाषा सरलीकृत चीनी ('zh') पर सेट है, यह सुझाव देती है कि iOS उपयोगकर्ताओं को भी लक्षित किया जा सकता है।

शुरुआत में, मैलवेयर ने बुनियादी HTTP अनुरोधों के माध्यम से C2 सर्वर के साथ संचार किया, जो प्रभावी होने के साथ-साथ सुरक्षा उपकरणों के लिए इसका पता लगाना और ब्लॉक करना आसान बनाता था। हालाँकि, एक रणनीतिक बदलाव में, मैलवेयर अब WebSocket कनेक्शन का उपयोग करता है, जिससे C2 सर्वर के साथ अधिक कुशल, वास्तविक समय, दो-तरफ़ा संचार संभव हो जाता है, जबकि पारंपरिक HTTP-आधारित निगरानी उपकरणों के लिए इसका पता लगाना कठिन हो जाता है।

मोबाइल डिवाइस साइबर हमलों का प्रमुख लक्ष्य बने हुए हैं

2024 की शुरुआत में, साइबर सुरक्षा विशेषज्ञों ने एक नए एंड्रॉइड रिमोट एक्सेस ट्रोजन (RAT) का पता लगाया, जिसे CraxsRAT के नाम से जाना जाता है, जो कम से कम फरवरी 2024 से फ़िशिंग वेबसाइटों के माध्यम से मलेशिया में बैंकिंग उपयोगकर्ताओं को लक्षित कर रहा है। यह भी उल्लेखनीय है कि CraxsRAT अभियान पहले सिंगापुर में अप्रैल 2023 की शुरुआत में पहचाने गए थे।

CraxsRAT एंड्रॉइड रिमोट एडमिनिस्ट्रेशन टूल्स (RAT) श्रेणी के भीतर एक प्रसिद्ध मैलवेयर परिवार है, जो रिमोट डिवाइस कंट्रोल और स्पाइवेयर फ़ंक्शन जैसी क्षमताएँ प्रदान करता है। इनमें कीलॉगिंग, जेस्चर निष्पादित करना और कैमरा, स्क्रीन और कॉल से वीडियो रिकॉर्ड करना शामिल है। जो उपयोगकर्ता CraxsRAT युक्त एप्लिकेशन डाउनलोड करते हैं, उन्हें क्रेडेंशियल चोरी और उनके फंड की अनधिकृत निकासी का सामना करना पड़ सकता है।