Malware mobile SpyAgent
Una nuova campagna malware per dispositivi mobili, nota come SpyAgent, ha iniziato a colpire gli utenti Android in Corea del Sud, rappresentando una minaccia unica tramite la scansione delle immagini dei dispositivi alla ricerca di chiavi mnemoniche. I ricercatori hanno notato un'espansione della sua portata, che ora ha un impatto anche sugli utenti nel Regno Unito.
Il malware viene distribuito tramite applicazioni Android false che sembrano legittime, imitando applicazioni bancarie, governative, di streaming e di utilità. Dall'inizio dell'anno, sono state identificate oltre 280 applicazioni fraudolente in relazione a questa campagna.
Sommario
SpyAgent dimostra funzionalità sofisticate per raccogliere dati
L'attacco inizia con messaggi SMS contenenti link non sicuri che spingono gli utenti a scaricare applicazioni come file APK da siti Web ingannevoli. Una volta installate, queste applicazioni richiedono autorizzazioni intrusive per accedere ai dati sul dispositivo, inclusi contatti, messaggi SMS, foto e altre informazioni sensibili, che vengono poi condivise con un server controllato dagli aggressori.
Una delle capacità più preoccupanti del malware è l'uso del riconoscimento ottico dei caratteri (OCR) per catturare chiavi mnemoniche, frasi di recupero che consentono agli utenti di ripristinare l'accesso ai loro portafogli di criptovaluta. Se gli aggressori hanno accesso a queste chiavi, possono prendere il controllo dei portafogli delle vittime e raccogliere tutti i fondi in essi contenuti.
I segnali indicano che SpyAgent sta prendendo di mira gli utenti iOS
L'infrastruttura Command-and-Control (C2) presentava notevoli falle di sicurezza, tra cui l'accesso illimitato alla directory principale del sito e l'esposizione dei dati delle vittime. Il server contiene anche un pannello di amministrazione che consente il controllo remoto dei dispositivi infetti. In particolare, la presenza di un Apple iPhone con iOS 15.8.2 e la lingua di sistema impostata su cinese semplificato ('zh') suggerisce che anche gli utenti iOS potrebbero essere presi di mira.
Inizialmente, il malware comunicava con il server C2 tramite richieste HTTP di base, che, seppur efficaci, rendevano più facile per gli strumenti di sicurezza rilevarli e bloccarli. Tuttavia, in un cambiamento strategico, ora il malware utilizza connessioni WebSocket, consentendo una comunicazione bidirezionale più efficiente e in tempo reale con il server C2, rendendo al contempo più difficile il rilevamento da parte degli strumenti di monitoraggio tradizionali basati su HTTP.
I dispositivi mobili restano un obiettivo importante per gli attacchi informatici
All'inizio del 2024, gli esperti di sicurezza informatica hanno scoperto un nuovo Android Remote Access Trojan (RAT) noto come CraxsRAT, che ha preso di mira gli utenti bancari in Malesia almeno da febbraio 2024 tramite siti Web di phishing. È anche degno di nota che le campagne CraxsRAT erano state precedentemente identificate a Singapore già nell'aprile 2023.
CraxsRAT è una nota famiglia di malware nella categoria Android Remote Administration Tools (RAT), che offre funzionalità quali controllo remoto del dispositivo e funzioni spyware. Tra queste rientrano il keylogging, l'esecuzione di gesti e la registrazione di video da telecamere, schermi e chiamate. Gli utenti che scaricano applicazioni contenenti CraxsRAT potrebbero subire furti di credenziali e prelievi non autorizzati dei loro fondi.
