SpyAgent Mobile Malware
Uma nova campanha de malware para o celular, conhecida como SpyAgent, começou a mirar usuários do Android na Coreia do Sul, representando uma ameaça única ao escanear imagens de dispositivos em busca de chaves mnemônicas. Pesquisadores notaram uma expansão em seu alcance, agora impactando usuários no Reino Unido também.
O malware é distribuído por meio de aplicativos Android falsos que parecem legítimos, imitando aplicativos bancários, governamentais, de streaming e utilitários. Desde o início do ano, mais de 280 aplicativos fraudulentos foram identificados em conexão com esta campanha.
Índice
O SpyAgent Demonstra Recursos Sofisticados para Coletar Dados
O ataque começa com mensagens SMS contendo links inseguros que solicitam que os usuários baixem aplicativos como arquivos APK de sites enganosos. Uma vez instalados, esses aplicativos solicitam permissões intrusivas para acessar dados no dispositivo, incluindo contatos, mensagens SMS, fotos e outras informações confidenciais, que são então compartilhadas com um servidor controlado pelos invasores.
Uma das capacidades mais preocupantes do malware é o uso de reconhecimento óptico de caracteres (OCR) para capturar chaves mnemônicas — frases de recuperação que permitem que os usuários restaurem o acesso às suas carteiras de criptomoedas. Se os invasores tiverem acesso a essas chaves, eles podem assumir o controle das carteiras das vítimas e coletar todos os fundos armazenados nelas.
Sinais Apontam para o SpyAgent Tendo como Alvo os Usuários do iOS
A infraestrutura de Comando e Controle (C2) tinha falhas de segurança significativas, incluindo acesso irrestrito ao diretório raiz do site e exposição de dados da vítima. O servidor também contém um painel de administrador que permite o controle remoto de dispositivos infectados. Notavelmente, a presença de um Apple iPhone executando iOS 15.8.2 com seu idioma de sistema definido como chinês simplificado ('zh') sugere que usuários de iOS também podem ser alvos.
Inicialmente, o malware se comunicava com o servidor C2 por meio de solicitações HTTP básicas, o que, embora eficaz, tornava mais fácil para as ferramentas de segurança detectarem e bloquearem. No entanto, em uma mudança estratégica, o malware agora usa conexões WebSocket, permitindo uma comunicação bidirecional mais eficiente e em tempo real com o servidor C2, ao mesmo tempo em que torna mais difícil para as ferramentas de monitoramento tradicionais baseadas em HTTP detectarem.
Os Dispositivos Móveis Continuam sendo um Alvo Importante para Ataques Cibernéticos
No início de 2024, especialistas em segurança cibernética descobriram um novo Trojan de acesso remoto (RAT) para Android conhecido como CraxsRAT, que tem como alvo usuários bancários na Malásia desde pelo menos fevereiro de 2024 por meio de sites de phishing. Também é digno de nota que campanhas do CraxsRAT foram identificadas anteriormente em Cingapura já em abril de 2023.
CraxsRAT é uma família de malware bem conhecida dentro da categoria Android Remote Administration Tools (RAT), oferecendo recursos como controle remoto de dispositivos e funções de spyware. Isso inclui keylogging, execução de gestos e gravação de vídeo de câmeras, telas e chamadas. Usuários que baixam aplicativos contendo CraxsRAT podem enfrentar roubo de credenciais e retirada não autorizada de seus fundos.
