SpyAgent Mobile Malware
Nowa kampania mobilnego złośliwego oprogramowania, znana jako SpyAgent, zaczęła atakować użytkowników Androida w Korei Południowej, stwarzając wyjątkowe zagrożenie poprzez skanowanie obrazów urządzeń w poszukiwaniu kluczy mnemonicznych. Badacze zauważyli rozszerzenie zasięgu, które teraz dotyka również użytkowników w Wielkiej Brytanii.
Złośliwe oprogramowanie jest dystrybuowane za pośrednictwem fałszywych aplikacji na Androida, które wydają się być legalne, imitując aplikacje bankowe, rządowe, streamingowe i użytkowe. Od początku roku zidentyfikowano ponad 280 fałszywych aplikacji w związku z tą kampanią.
Spis treści
SpyAgent demonstruje zaawansowane funkcje zbierania danych
Atak rozpoczyna się od wiadomości SMS zawierających niebezpieczne linki, które zachęcają użytkowników do pobierania aplikacji jako plików APK z oszukańczych witryn. Po zainstalowaniu aplikacje te żądają inwazyjnych uprawnień dostępu do danych na urządzeniu, w tym kontaktów, wiadomości SMS, zdjęć i innych poufnych informacji, które są następnie udostępniane serwerowi kontrolowanemu przez atakujących.
Jedną z najbardziej niepokojących możliwości złośliwego oprogramowania jest wykorzystanie optycznego rozpoznawania znaków (OCR) do przechwytywania kluczy mnemonicznych — fraz odzyskiwania, które pozwalają użytkownikom przywrócić dostęp do ich portfeli kryptowalutowych. Jeśli atakujący mają dostęp do tych kluczy, mogą przejąć kontrolę nad portfelami ofiar i zebrać wszystkie przechowywane w nich środki.
Znaki wskazują na to, że SpyAgent atakuje użytkowników iOS
Infrastruktura Command-and-Control (C2) miała poważne luki w zabezpieczeniach, w tym nieograniczony dostęp do katalogu głównego witryny i ujawnienie danych ofiary. Serwer zawiera również panel administratora, który umożliwia zdalne sterowanie zainfekowanymi urządzeniami. Co ciekawe, obecność Apple iPhone z systemem iOS 15.8.2 i językiem systemowym ustawionym na uproszczony chiński („zh”) sugeruje, że użytkownicy iOS również mogą być celem ataku.
Początkowo złośliwe oprogramowanie komunikowało się z serwerem C2 za pomocą podstawowych żądań HTTP, co, choć skuteczne, ułatwiało wykrywanie i blokowanie narzędzi bezpieczeństwa. Jednak w strategicznej zmianie złośliwe oprogramowanie używa teraz połączeń WebSocket, umożliwiając bardziej wydajną, dwukierunkową komunikację w czasie rzeczywistym z serwerem C2, a jednocześnie utrudniając wykrywanie go tradycyjnym narzędziom monitorującym opartym na protokole HTTP.
Urządzenia mobilne pozostają ważnym celem cyberataków
Na początku 2024 r. eksperci ds. cyberbezpieczeństwa odkryli nowego trojana zdalnego dostępu do systemu Android (RAT) znanego jako CraxsRAT, który atakuje użytkowników bankowości w Malezji od co najmniej lutego 2024 r. za pośrednictwem witryn phishingowych. Warto również zauważyć, że kampanie CraxsRAT zostały wcześniej zidentyfikowane w Singapurze już w kwietniu 2023 r.
CraxsRAT to znana rodzina złośliwego oprogramowania w kategorii Android Remote Administration Tools (RAT), oferująca takie możliwości, jak zdalne sterowanie urządzeniem i funkcje spyware. Obejmują one rejestrowanie naciśnięć klawiszy, wykonywanie gestów i nagrywanie wideo z kamer, ekranów i połączeń. Użytkownicy, którzy pobiorą aplikacje zawierające CraxsRAT, mogą paść ofiarą kradzieży danych uwierzytelniających i nieautoryzowanego wypłacenia środków.
