Zlonamerna programska oprema za mobilne naprave SpyAgent
Nova kampanja zlonamerne programske opreme za mobilne naprave, znana kot SpyAgent, je začela ciljati na uporabnike Androida v Južni Koreji in predstavlja edinstveno grožnjo s skeniranjem slik naprav za iskanje mnemoničnih ključev. Raziskovalci so opazili razširitev njegovega dosega, ki zdaj vpliva tudi na uporabnike v Združenem kraljestvu.
Zlonamerna programska oprema se distribuira prek lažnih aplikacij za Android, ki se zdijo legitimne in posnemajo bančne, vladne, pretočne in pomožne aplikacije. Od začetka leta je bilo v zvezi s to akcijo identificiranih več kot 280 goljufivih aplikacij.
Kazalo
SpyAgent prikazuje sofisticirane funkcije za zbiranje podatkov
Napad se začne s sporočili SMS, ki vsebujejo nevarne povezave, ki uporabnike pozivajo k prenosu aplikacij kot datotek APK z zavajajočih spletnih mest. Ko so nameščene, te aplikacije zahtevajo vsiljiva dovoljenja za dostop do podatkov v napravi, vključno s stiki, sporočili SMS, fotografijami in drugimi občutljivimi informacijami, ki se nato delijo s strežnikom, ki ga nadzorujejo napadalci.
Ena najbolj skrb vzbujajočih zmogljivosti zlonamerne programske opreme je uporaba optičnega prepoznavanja znakov (OCR) za zajemanje mnemoničnih ključev – fraz za obnovitev, ki uporabnikom omogočajo obnovitev dostopa do njihovih denarnic za kriptovalute. Če imajo napadalci dostop do teh ključev, lahko prevzamejo nadzor nad denarnicami žrtev in poberejo vsa sredstva, shranjena v njih.
Znaki kažejo na to, da SpyAgent cilja na uporabnike iOS
Infrastruktura Command-and-Control (C2) je imela znatne varnostne pomanjkljivosti, vključno z neomejenim dostopom do korenskega imenika spletnega mesta in izpostavljenostjo podatkov o žrtvah. Strežnik vsebuje tudi skrbniško ploščo, ki omogoča daljinsko upravljanje okuženih naprav. Predvsem prisotnost Apple iPhone z operacijskim sistemom iOS 15.8.2 s sistemskim jezikom, nastavljenim na poenostavljeno kitajščino ('zh'), nakazuje, da so morda tarča tudi uporabniki iOS-a.
Sprva je zlonamerna programska oprema komunicirala s strežnikom C2 prek osnovnih zahtev HTTP, ki so, čeprav učinkovite, varnostnim orodjem olajšale odkrivanje in blokiranje. Vendar pa v strateškem premiku zlonamerna programska oprema zdaj uporablja povezave WebSocket, kar omogoča učinkovitejšo dvosmerno komunikacijo v realnem času s strežnikom C2, hkrati pa tradicionalnim orodjem za spremljanje, ki temeljijo na HTTP, otežuje zaznavanje.
Mobilne naprave ostajajo pomembna tarča kibernetskih napadov
V začetku leta 2024 so strokovnjaki za kibernetsko varnost odkrili nov trojanec za oddaljeni dostop do Androida (RAT), znan kot CraxsRAT, ki cilja na bančne uporabnike v Maleziji vsaj od februarja 2024 prek spletnih mest z lažnim predstavljanjem. Omeniti velja tudi, da so bile kampanje CraxsRAT predhodno identificirane v Singapurju že aprila 2023.
CraxsRAT je dobro znana družina zlonamerne programske opreme v kategoriji orodij za oddaljeno upravljanje Android (RAT), ki ponuja zmožnosti, kot so nadzor naprav na daljavo in funkcije vohunske programske opreme. Ti vključujejo beleženje tipk, izvajanje kretenj in snemanje videa s kamer, zaslonov in klicev. Uporabniki, ki prenesejo aplikacije, ki vsebujejo CraxsRAT, se lahko soočijo s krajo poverilnic in nepooblaščenim dvigom svojih sredstev.
