SpyAgent Mobile ļaunprātīga programmatūra
Jauna mobilo ierīču ļaunprātīgas programmatūras kampaņa, kas pazīstama kā SpyAgent, ir sākusi mērķēt uz Android lietotājiem Dienvidkorejā, radot unikālus draudus, skenējot ierīces attēlus, lai meklētu mnemoniskos taustiņus. Pētnieki ir atzīmējuši tā sasniedzamības paplašināšanos, kas tagad ietekmē arī lietotājus Apvienotajā Karalistē.
Ļaunprātīga programmatūra tiek izplatīta, izmantojot viltotas Android lietojumprogrammas, kas šķiet likumīgas, atdarina banku, valdības, straumēšanas un utilītu lietojumprogrammas. Kopš gada sākuma saistībā ar šo kampaņu konstatēti vairāk nekā 280 krāpnieciski pieteikumi.
Satura rādītājs
SpyAgent demonstrē sarežģītas datu ieguves funkcijas
Uzbrukums sākas ar SMS ziņojumiem, kas satur nedrošas saites, kas mudina lietotājus lejupielādēt lietojumprogrammas kā APK failus no maldinošām vietnēm. Pēc instalēšanas šīs lietojumprogrammas pieprasa uzmācīgas atļaujas piekļūt datiem ierīcē, tostarp kontaktpersonām, īsziņām, fotoattēliem un citai sensitīvai informācijai, kas pēc tam tiek kopīgota ar serveri, kuru kontrolē uzbrucēji.
Viena no ļaunprogrammatūras vissmagākajām iespējām ir optiskās rakstzīmju atpazīšanas (OCR) izmantošana, lai tvertu mnemoniskas atslēgas — atkopšanas frāzes, kas lietotājiem ļauj atjaunot piekļuvi saviem kriptovalūtas makiem. Ja uzbrucējiem ir piekļuve šīm atslēgām, viņi var pārņemt kontroli pār upuru makiem un savākt visus tajos glabātos līdzekļus.
Pazīmes norāda uz SpyAgent mērķauditorijas atlasi iOS lietotājiem
Command-and-Control (C2) infrastruktūrai bija būtiski drošības trūkumi, tostarp neierobežota piekļuve vietnes saknes direktorijam un upuru datu atklāšana. Serverī ir arī administratora panelis, kas ļauj attālināti vadīt inficētās ierīces. Īpaši jāatzīmē, ka Apple iPhone, kurā darbojas operētājsistēma iOS 15.8.2 un kura sistēmas valoda ir iestatīta uz vienkāršoto ķīniešu valodu (“zh”), var domāt, ka mērķauditorija var būt arī iOS lietotāji.
Sākotnēji ļaunprogrammatūra sazinājās ar C2 serveri, izmantojot pamata HTTP pieprasījumus, kas, lai arī bija efektīvi, atviegloja drošības rīku noteikšanu un bloķēšanu. Tomēr stratēģiskā maiņā ļaunprogrammatūra tagad izmanto WebSocket savienojumus, nodrošinot efektīvāku, reāllaika, divvirzienu saziņu ar C2 serveri, vienlaikus apgrūtinot tradicionālo uz HTTP balstīto uzraudzības rīku noteikšanu.
Mobilās ierīces joprojām ir ievērojams kiberuzbrukumu mērķis
2024. gada sākumā kiberdrošības eksperti atklāja jaunu Android attālās piekļuves Trojas zirgu (RAT), kas pazīstams kā CraxsRAT un kas vismaz kopš 2024. gada februāra ir mērķēts uz banku lietotājiem Malaizijā, izmantojot pikšķerēšanas vietnes. Jāatzīmē arī tas, ka CraxsRAT kampaņas iepriekš tika identificētas Singapūrā jau 2023. gada aprīlī.
CraxsRAT ir plaši pazīstama ļaunprātīgas programmatūras saime Android attālās administrēšanas rīku (RAT) kategorijā, kas piedāvā tādas iespējas kā tālvadības ierīces vadība un spiegprogrammatūras funkcijas. Tie ietver taustiņu reģistrēšanu, žestu izpildi un video ierakstīšanu no kamerām, ekrāniem un zvaniem. Lietotāji, kuri lejupielādē CraxsRAT saturošas lietojumprogrammas, var saskarties ar akreditācijas datu zādzību un nesankcionētu līdzekļu izņemšanu.
