„SpyAgent Mobile“ kenkėjiška programa
Nauja mobiliųjų kenkėjiškų programų kampanija, žinoma kaip „SpyAgent“, buvo nukreipta į „Android“ vartotojus Pietų Korėjoje, kelianti unikalią grėsmę, nes nuskaito įrenginio vaizdus ir ieško mnemoninių raktų. Tyrėjai pastebėjo, kad jos pasiekiamumas plečiasi, o tai dabar daro įtaką ir JK naudotojams.
Kenkėjiška programa platinama per netikras „Android“ programas, kurios atrodo teisėtos, imituojančios bankininkystės, vyriausybės, srautinio perdavimo ir paslaugų programas. Nuo metų pradžios buvo nustatyta per 280 apgaulingų paraiškų, susijusių su šia kampanija.
Turinys
„SpyAgent“ demonstruoja sudėtingas duomenų rinkimo funkcijas
Ataka prasideda SMS žinutėmis su nesaugiomis nuorodomis, raginančiomis vartotojus atsisiųsti programas kaip APK failus iš apgaulingų svetainių. Įdiegtos šios programos prašo įkyrių leidimų pasiekti įrenginio duomenis, įskaitant kontaktus, SMS žinutes, nuotraukas ir kitą neskelbtiną informaciją, kuri vėliau bendrinama su serveriu, kurį valdo užpuolikai.
Viena iš labiausiai susirūpinusių kenkėjiškų programų galimybių yra optinio simbolių atpažinimo (OCR) naudojimas mnemoniniams raktams užfiksuoti – atkūrimo frazės, leidžiančios vartotojams atkurti prieigą prie savo kriptovaliutų piniginės. Jei užpuolikai turi prieigą prie šių raktų, jie gali kontroliuoti aukų pinigines ir surinkti visas jose saugomas lėšas.
Ženklai rodo „SpyAgent“ taikymą „iOS“ naudotojams
Command-and-Control (C2) infrastruktūra turėjo didelių saugumo trūkumų, įskaitant neribotą prieigą prie svetainės šakninio katalogo ir aukos duomenų atskleidimą. Serveryje taip pat yra administratoriaus skydelis, leidžiantis nuotoliniu būdu valdyti užkrėstus įrenginius. Pažymėtina, kad Apple iPhone, kuriame veikia iOS 15.8.2 ir jo sistemos kalba nustatyta į supaprastintą kinų (zh), rodo, kad iOS naudotojai taip pat gali būti taikomi.
Iš pradžių kenkėjiška programa susisiekė su C2 serveriu per pagrindines HTTP užklausas, kurios, nors ir veiksmingos, palengvino saugos įrankių aptikimą ir blokavimą. Tačiau strategiškai pakeitus, kenkėjiška programa dabar naudoja „WebSocket“ ryšius, leidžiančius efektyviau, realiuoju laiku, dvipusį ryšį su C2 serveriu, tuo pačiu apsunkina tradicinių HTTP stebėjimo įrankių aptikimą.
Mobilieji įrenginiai išlieka svarbiu kibernetinių atakų taikiniu
2024 m. pradžioje kibernetinio saugumo ekspertai aptiko naują Android nuotolinės prieigos Trojos arklys (RAT), žinomas kaip CraxsRAT, kuris mažiausiai nuo 2024 m. vasario mėn. buvo skirtas bankininkystės vartotojams Malaizijoje per sukčiavimo svetaines. Taip pat pažymėtina, kad CraxsRAT kampanijos anksčiau buvo nustatytos Singapūre jau 2023 m. balandžio mėn.
CraxsRAT yra gerai žinoma kenkėjiškų programų šeima, priklausanti Android nuotolinio administravimo įrankių (RAT) kategorijai, siūlanti tokias galimybes kaip nuotolinio įrenginio valdymas ir šnipinėjimo programos. Tai apima klavišų registravimą, gestų vykdymą ir vaizdo įrašų iš kamerų, ekranų ir skambučių įrašymą. Vartotojai, kurie atsisiunčia programas, kuriose yra CraxsRAT, gali susidurti su kredencialų vagyste ir neteisėtu lėšų išėmimu.
