SpyAgent mobiele malware
Een nieuwe mobiele malwarecampagne, bekend als SpyAgent, is begonnen met het targeten van Android-gebruikers in Zuid-Korea, en vormt een unieke bedreiging door apparaatafbeeldingen te scannen op mnemonische sleutels. Onderzoekers hebben een uitbreiding in het bereik opgemerkt, die nu ook gebruikers in het Verenigd Koninkrijk treft.
De malware wordt verspreid via nep-Android-applicaties die legitiem lijken en die bank-, overheids-, streaming- en nutstoepassingen nabootsen. Sinds het begin van het jaar zijn er meer dan 280 frauduleuze applicaties geïdentificeerd in verband met deze campagne.
Inhoudsopgave
SpyAgent demonstreert geavanceerde functies voor het verzamelen van gegevens
De aanval begint met sms-berichten met onveilige links die gebruikers ertoe aanzetten om applicaties te downloaden als APK-bestanden van misleidende websites. Na installatie vragen deze applicaties om opdringerige toestemmingen om toegang te krijgen tot gegevens op het apparaat, waaronder contacten, sms-berichten, foto's en andere gevoelige informatie, die vervolgens worden gedeeld met een server die wordt beheerd door de aanvallers.
Een van de meest zorgwekkende mogelijkheden van de malware is het gebruik van optische tekenherkenning (OCR) om mnemonische sleutels te vangen: herstelzinnen waarmee gebruikers de toegang tot hun cryptocurrency wallets kunnen herstellen. Als de aanvallers toegang hebben tot deze sleutels, kunnen ze de controle over de wallets van de slachtoffers overnemen en alle fondsen die erin zijn opgeslagen, verzamelen.
Tekenen wijzen erop dat SpyAgent iOS-gebruikers als doelwit heeft
De Command-and-Control (C2)-infrastructuur had aanzienlijke beveiligingslekken, waaronder onbeperkte toegang tot de rootdirectory van de site en blootstelling van slachtoffergegevens. De server bevat ook een beheerderspaneel dat externe controle van geïnfecteerde apparaten mogelijk maakt. Met name de aanwezigheid van een Apple iPhone met iOS 15.8.2 met de systeemtaal ingesteld op Vereenvoudigd Chinees ('zh') suggereert dat iOS-gebruikers mogelijk ook het doelwit zijn.
Aanvankelijk communiceerde de malware met de C2-server via basis-HTTP-verzoeken, die weliswaar effectief waren, maar het voor beveiligingstools makkelijker maakten om te detecteren en te blokkeren. In een strategische verschuiving gebruikt de malware nu echter WebSocket-verbindingen, wat efficiëntere, realtime, tweerichtingscommunicatie met de C2-server mogelijk maakt, terwijl het ook moeilijker wordt voor traditionele HTTP-gebaseerde monitoringtools om te detecteren.
Mobiele apparaten blijven een prominent doelwit voor cyberaanvallen
Begin 2024 ontdekten cybersecurity-experts een nieuwe Android Remote Access Trojan (RAT), bekend als CraxsRAT, die sinds ten minste februari 2024 bankgebruikers in Maleisië target via phishingwebsites. Het is ook opmerkelijk dat CraxsRAT- campagnes al in april 2023 in Singapore zijn geïdentificeerd.
CraxsRAT is een bekende malwarefamilie binnen de categorie Android Remote Administration Tools (RAT) en biedt mogelijkheden zoals externe apparaatbesturing en spywarefuncties. Deze omvatten keylogging, het uitvoeren van gebaren en het opnemen van video van camera's, schermen en oproepen. Gebruikers die applicaties downloaden die CraxsRAT bevatten, kunnen te maken krijgen met diefstal van inloggegevens en ongeautoriseerde opname van hun geld.
