SpyAgent mobil skadelig programvare
En ny mobil malware-kampanje, kjent som SpyAgent, har begynt å målrette Android-brukere i Sør-Korea, og utgjør en unik trussel ved å skanne enhetsbilder for mnemoniske nøkler. Forskere har merket en utvidelse av rekkevidden, som nå også påvirker brukere i Storbritannia.
Skadevaren distribueres gjennom falske Android-applikasjoner som ser ut til å være legitime, og etterligner bank-, regjerings-, streaming- og hjelpeapplikasjoner. Siden begynnelsen av året er det identifisert over 280 svindelsøknader i forbindelse med denne kampanjen.
Innholdsfortegnelse
SpyAgent demonstrerer sofistikerte funksjoner for å høste data
Angrepet begynner med SMS-meldinger som inneholder usikre lenker som ber brukere om å laste ned applikasjoner som APK-filer fra villedende nettsteder. Når de er installert, ber disse applikasjonene om påtrengende tillatelser for å få tilgang til data på enheten, inkludert kontakter, SMS-meldinger, bilder og annen sensitiv informasjon, som deretter deles med en server kontrollert av angriperne.
En av de mest bekymringsfulle egenskapene til skadevare er bruken av optisk tegngjenkjenning (OCR) for å fange opp mnemoniske nøkler – gjenopprettingssetninger som lar brukere gjenopprette tilgangen til kryptovaluta-lommebøkene sine. Hvis angriperne har tilgang til disse nøklene, kan de ta kontroll over ofrenes lommebøker og samle inn alle midlene som er lagret i dem.
Skilt peker mot SpyAgent som retter seg mot iOS-brukere
Command-and-Control (C2)-infrastrukturen hadde betydelige sikkerhetsfeil, inkludert ubegrenset tilgang til nettstedets rotkatalog og eksponering av offerdata. Serveren inneholder også et administratorpanel som muliggjør fjernkontroll av infiserte enheter. Spesielt tilstedeværelsen av en Apple iPhone som kjører iOS 15.8.2 med systemspråket satt til forenklet kinesisk ('zh') antyder at iOS-brukere også kan bli målrettet.
Til å begynne med kommuniserte skadelig programvare med C2-serveren gjennom grunnleggende HTTP-forespørsler, som, selv om de var effektive, gjorde det lettere for sikkerhetsverktøy å oppdage og blokkere. Imidlertid, i et strategisk skifte, bruker skadevare nå WebSocket-tilkoblinger, noe som muliggjør mer effektiv, sanntids, toveis kommunikasjon med C2-serveren, samtidig som det gjør det vanskeligere for tradisjonelle HTTP-baserte overvåkingsverktøy å oppdage.
Mobile enheter forblir et fremtredende mål for nettangrep
Tidlig i 2024 avdekket cybersikkerhetseksperter en ny Android Remote Access Trojan (RAT) kjent som CraxsRAT, som har vært rettet mot bankbrukere i Malaysia siden minst februar 2024 gjennom phishing-nettsteder. Det er også bemerkelsesverdig at CraxsRAT -kampanjer tidligere har blitt identifisert i Singapore så tidlig som i april 2023.
CraxsRAT er en velkjent skadevarefamilie innenfor kategorien Android Remote Administration Tools (RAT), som tilbyr funksjoner som fjernkontroll av enheter og spywarefunksjoner. Disse inkluderer tastelogging, utførelse av bevegelser og opptak av video fra kameraer, skjermer og anrop. Brukere som laster ned applikasjoner som inneholder CraxsRAT kan bli utsatt for tyveri av legitimasjon og uautorisert uttak av pengene sine.
