Perisian Hasad Mudah Alih SpyAgent

Kempen perisian hasad mudah alih baharu, dikenali sebagai SpyAgent, telah mula menyasarkan pengguna Android di Korea Selatan, menimbulkan ancaman unik dengan mengimbas imej peranti untuk kunci mnemonik. Penyelidik telah mencatatkan pengembangan dalam jangkauannya, kini memberi kesan kepada pengguna di UK juga.

Malware itu diedarkan melalui aplikasi Android palsu yang kelihatan sah, meniru aplikasi perbankan, kerajaan, penstriman dan utiliti. Sejak awal tahun, lebih 280 permohonan penipuan telah dikenal pasti berkaitan dengan kempen ini.

SpyAgent Menunjukkan Ciri Canggih untuk Mengumpul Data

Serangan bermula dengan mesej SMS yang mengandungi pautan tidak selamat yang menggesa pengguna memuat turun aplikasi sebagai fail APK daripada tapak web yang menipu. Setelah dipasang, aplikasi ini meminta kebenaran mengganggu untuk mengakses data pada peranti, termasuk kenalan, mesej SMS, foto dan maklumat sensitif lain, yang kemudiannya dikongsi dengan pelayan yang dikawal oleh penyerang.

Salah satu keupayaan perisian hasad yang paling membimbangkan ialah penggunaan pengecaman aksara optik (OCR) untuk menangkap kunci mnemonik—frasa pemulihan yang membolehkan pengguna memulihkan akses kepada dompet mata wang kripto mereka. Jika penyerang mempunyai akses kepada kunci ini, mereka boleh mengawal dompet mangsa dan mengumpul semua dana yang disimpan di dalamnya.

Tanda Menuju Ke Arah SpyAgent Menyasarkan Pengguna iOS

Infrastruktur Command-and-Control (C2) mempunyai kelemahan keselamatan yang ketara, termasuk akses tanpa had kepada direktori akar tapak dan pendedahan data mangsa. Pelayan juga mengandungi panel pentadbir yang membolehkan kawalan jauh peranti yang dijangkiti. Terutama, kehadiran Apple iPhone yang menjalankan iOS 15.8.2 dengan bahasa sistemnya ditetapkan kepada Bahasa Cina Ringkas ('zh') menunjukkan bahawa pengguna iOS juga mungkin disasarkan.

Pada mulanya, perisian hasad berkomunikasi dengan pelayan C2 melalui permintaan HTTP asas, yang, walaupun berkesan, memudahkan alat keselamatan untuk mengesan dan menyekat. Walau bagaimanapun, dalam anjakan strategik, perisian hasad kini menggunakan sambungan WebSocket, membolehkan komunikasi dua hala yang lebih cekap, masa nyata, dengan pelayan C2 sambil menyukarkan alat pemantauan berasaskan HTTP tradisional untuk dikesan.

Peranti Mudah Alih Kekal Sasaran Terkemuka untuk Serangan Siber

Pada awal 2024, pakar keselamatan siber menemui Trojan Akses Jauh Android (RAT) baharu yang dikenali sebagai CraxsRAT, yang telah menyasarkan pengguna perbankan di Malaysia sejak sekurang-kurangnya Februari 2024 melalui tapak web pancingan data. Perlu diperhatikan juga bahawa kempen CraxsRAT sebelum ini telah dikenal pasti di Singapura seawal April 2023.

CraxsRAT ialah keluarga perisian hasad yang terkenal dalam kategori Alat Pentadbiran Jauh Android (RAT), menawarkan keupayaan seperti kawalan peranti jauh dan fungsi perisian intip. Ini termasuk pengelogan kekunci, melaksanakan gerak isyarat dan merakam video daripada kamera, skrin dan panggilan. Pengguna yang memuat turun aplikasi yang mengandungi CraxsRAT mungkin menghadapi kecurian kelayakan dan pengeluaran tanpa kebenaran dana mereka.