SpyAgent Mobile Malware
Nova kampanja zlonamjernog softvera za mobilne uređaje, poznata kao SpyAgent, počela je ciljati korisnike Androida u Južnoj Koreji, predstavljajući jedinstvenu prijetnju skeniranjem slika uređaja u potrazi za mnemoničkim ključevima. Istraživači su primijetili proširenje njegova dosega, što sada utječe i na korisnike u Ujedinjenom Kraljevstvu.
Zlonamjerni se softver distribuira putem lažnih Android aplikacija koje izgledaju legitimne, oponašajući bankarske, vladine, streaming i uslužne aplikacije. Od početka godine u vezi s ovom kampanjom identificirano je preko 280 lažnih aplikacija.
Sadržaj
SpyAgent demonstrira sofisticirane značajke za prikupljanje podataka
Napad započinje SMS porukama koje sadrže nesigurne poveznice koje potiču korisnike da preuzmu aplikacije kao APK datoteke s lažnih web stranica. Jednom instalirane, ove aplikacije zahtijevaju nametljive dozvole za pristup podacima na uređaju, uključujući kontakte, SMS poruke, fotografije i druge osjetljive podatke, koji se zatim dijele s poslužiteljem kojim upravljaju napadači.
Jedna od mogućnosti zlonamjernog softvera koja najviše zabrinjava je njegova upotreba optičkog prepoznavanja znakova (OCR) za hvatanje mnemoničkih ključeva—fraza za oporavak koje korisnicima omogućuju vraćanje pristupa njihovim novčanicima za kriptovalute. Ako napadači imaju pristup ovim ključevima, mogu preuzeti kontrolu nad novčanicima žrtava i pokupiti sva sredstva pohranjena u njima.
Znakovi upućuju na to da SpyAgent cilja na iOS korisnike
Infrastruktura za upravljanje i kontrolu (C2) imala je značajne sigurnosne nedostatke, uključujući neograničeni pristup korijenskom direktoriju web-mjesta i izlaganje podataka o žrtvama. Poslužitelj također sadrži administratorsku ploču koja omogućuje daljinsko upravljanje zaraženim uređajima. Primjetno je da prisutnost Apple iPhonea koji pokreće iOS 15.8.2 s jezikom sustava postavljenim na pojednostavljeni kineski ('zh') sugerira da bi korisnici iOS-a također mogli biti ciljani.
U početku je zlonamjerni softver komunicirao s C2 poslužiteljem putem osnovnih HTTP zahtjeva, koji su, iako učinkoviti, sigurnosnim alatima olakšali otkrivanje i blokiranje. Međutim, u strateškom pomaku, zlonamjerni softver sada koristi WebSocket veze, omogućujući učinkovitiju, dvosmjernu komunikaciju u stvarnom vremenu s C2 poslužiteljem, a istovremeno otežava otkrivanje tradicionalnim alatima za praćenje koji se temelje na HTTP-u.
Mobilni uređaji ostaju istaknuta meta kibernetičkih napada
Početkom 2024. stručnjaci za kibernetičku sigurnost otkrili su novi Android Trojanac za daljinski pristup (RAT) poznat kao CraxsRAT, koji cilja bankovne korisnike u Maleziji od najmanje veljače 2024. putem web stranica za krađu identiteta. Također je važno napomenuti da su kampanje CraxsRAT ranije identificirane u Singapuru već u travnju 2023.
CraxsRAT je dobro poznata obitelj zlonamjernog softvera unutar kategorije Android Remote Administration Tools (RAT), koja nudi mogućnosti kao što su daljinska kontrola uređaja i funkcije špijunskog softvera. To uključuje keylogging, izvršavanje gesta i snimanje videa s kamera, zaslona i poziva. Korisnici koji preuzmu aplikacije koje sadrže CraxsRAT mogu se suočiti s krađom vjerodajnica i neovlaštenim povlačenjem svojih sredstava.
