SpyAgent Mobile Malware
O nouă campanie de programe malware pentru mobil, cunoscută sub numele de SpyAgent, a început să vizeze utilizatorii Android din Coreea de Sud, reprezentând o amenințare unică prin scanarea imaginilor dispozitivului pentru chei mnemonice. Cercetătorii au observat o extindere a acoperirii sale, care afectează acum și utilizatorii din Marea Britanie.
Malware-ul este distribuit prin aplicații false pentru Android care par a fi legitime, imitând aplicații bancare, guvernamentale, streaming și utilitare. De la începutul anului, peste 280 de aplicații frauduloase au fost identificate în legătură cu această campanie.
Cuprins
SpyAgent demonstrează caracteristici sofisticate pentru a colecta date
Atacul începe cu mesaje SMS care conțin linkuri nesigure care îi determină pe utilizatori să descarce aplicații ca fișiere APK de pe site-uri web înșelătoare. Odată instalate, aceste aplicații solicită permisiuni intruzive pentru a accesa datele de pe dispozitiv, inclusiv contacte, mesaje SMS, fotografii și alte informații sensibile, care sunt apoi partajate cu un server controlat de atacatori.
Una dintre cele mai îngrijorătoare capacități ale malware-ului este utilizarea recunoașterii optice a caracterelor (OCR) pentru a capta chei mnemonice - fraze de recuperare care permit utilizatorilor să restabilească accesul la portofelele criptomonede. Dacă atacatorii au acces la aceste chei, ei pot prelua controlul asupra portofelelor victimelor și pot colecta toate fondurile stocate în ele.
Semnele indică către SpyAgent care vizează utilizatorii iOS
Infrastructura Command-and-Control (C2) a avut defecte de securitate semnificative, inclusiv acces nerestricționat la directorul rădăcină al site-ului și expunerea datelor victimelor. Serverul conține, de asemenea, un panou de administrator care permite controlul de la distanță al dispozitivelor infectate. În special, prezența unui iPhone Apple care rulează iOS 15.8.2 cu limba sistemului setată la chineză simplificată („zh”) sugerează că utilizatorii iOS pot fi vizați și ei.
Inițial, malware-ul a comunicat cu serverul C2 prin solicitări HTTP de bază, care, deși eficiente, au făcut ca instrumentele de securitate să poată fi detectate și blocate mai ușor. Cu toate acestea, într-o schimbare strategică, malware-ul utilizează acum conexiuni WebSocket, permițând o comunicare mai eficientă, în timp real, bidirecțională cu serverul C2, în timp ce instrumentele tradiționale de monitorizare bazate pe HTTP sunt mai greu de detectat.
Dispozitivele mobile rămân o țintă proeminentă pentru atacurile cibernetice
La începutul anului 2024, experții în securitate cibernetică au descoperit un nou troian Android Remote Access (RAT) cunoscut sub numele de CraxsRAT, care vizează utilizatorii de servicii bancare din Malaezia cel puțin din februarie 2024 prin intermediul site-urilor web de phishing. De asemenea, este de remarcat faptul că campaniile CraxsRAT au fost identificate anterior în Singapore încă din aprilie 2023.
CraxsRAT este o familie de programe malware binecunoscută din categoria Instrumente de administrare la distanță Android (RAT), oferind capabilități precum controlul dispozitivului de la distanță și funcții de spyware. Acestea includ înregistrarea tastelor, executarea gesturilor și înregistrarea video de la camere, ecrane și apeluri. Utilizatorii care descarcă aplicații care conțin CraxsRAT se pot confrunta cu furtul de acreditări și retragerea neautorizată a fondurilor lor.
