SpyAgent Mobile Malware

Një fushatë e re malware celular, e njohur si SpyAgent, ka filluar të synojë përdoruesit e Android në Korenë e Jugut, duke paraqitur një kërcënim unik duke skanuar imazhet e pajisjes për çelësat kujtues. Studiuesit kanë vërejtur një zgjerim në shtrirjen e tij, duke ndikuar tani edhe përdoruesit në MB.

Malware shpërndahet përmes aplikacioneve të rreme Android që duket se janë legjitime, duke imituar bankat, qeverinë, transmetimin dhe aplikacionet e shërbimeve. Që nga fillimi i vitit, në lidhje me këtë fushatë janë identifikuar mbi 280 aplikime mashtruese.

SpyAgent demonstron veçori të sofistikuara për të mbledhur të dhëna

Sulmi fillon me mesazhe SMS që përmbajnë lidhje të pasigurta që i nxisin përdoruesit të shkarkojnë aplikacionet si skedarë APK nga faqet e internetit mashtruese. Pasi të instalohen, këto aplikacione kërkojnë leje ndërhyrëse për të hyrë në të dhënat në pajisje, duke përfshirë kontaktet, mesazhet SMS, fotot dhe informacione të tjera të ndjeshme, të cilat më pas ndahen me një server të kontrolluar nga sulmuesit.

Një nga aftësitë më shqetësuese të malware është përdorimi i tij i njohjes optike të karaktereve (OCR) për të kapur çelësat mnemonikë - fraza rikuperimi që lejojnë përdoruesit të rivendosin aksesin në portofolin e tyre të kriptomonedhës. Nëse sulmuesit kanë akses në këta çelësa, ata mund të marrin kontrollin e portofolit të viktimave dhe të mbledhin të gjitha fondet e ruajtura brenda tyre.

Shenjat tregojnë drejt SpyAgent që synon përdoruesit e iOS

Infrastruktura Command-and-Control (C2) kishte të meta të rëndësishme sigurie, duke përfshirë aksesin e pakufizuar në direktorinë rrënjësore të faqes dhe ekspozimin e të dhënave të viktimave. Serveri përmban gjithashtu një panel administratori që mundëson kontrollin në distancë të pajisjeve të infektuara. Veçanërisht, prania e një Apple iPhone me iOS 15.8.2 me gjuhën e sistemit të vendosur në Kineze e thjeshtuar ('zh') sugjeron që përdoruesit e iOS mund të jenë gjithashtu në shënjestër.

Fillimisht, malware komunikoi me serverin C2 përmes kërkesave bazë HTTP, të cilat, megjithëse ishin efektive, e bënë më të lehtë zbulimin dhe bllokimin e mjeteve të sigurisë. Megjithatë, në një ndryshim strategjik, malware tani përdor lidhjet WebSocket, duke mundësuar komunikim më efikas, në kohë reale, të dyanshme me serverin C2, duke e bërë gjithashtu më të vështirë zbulimin e mjeteve tradicionale të monitorimit të bazuara në HTTP.

Pajisjet celulare mbeten një objektiv i spikatur për sulmet kibernetike

Në fillim të vitit 2024, ekspertët e sigurisë kibernetike zbuluan një Trojan të ri Android Remote Access (RAT) i njohur si CraxsRAT, i cili ka synuar përdoruesit e bankave në Malajzi që të paktën që nga shkurti 2024 përmes faqeve të phishing. Vlen gjithashtu të përmendet se fushatat CraxsRAT janë identifikuar më parë në Singapor që në prill 2023.

CraxsRAT është një familje e mirënjohur malware brenda kategorisë së Mjeteve të Administrimit në distancë të Android (RAT), duke ofruar aftësi të tilla si kontrolli në distancë i pajisjes dhe funksione spyware. Këto përfshijnë regjistrimin e tasteve, ekzekutimin e gjesteve dhe regjistrimin e videos nga kamerat, ekranet dhe thirrjet. Përdoruesit që shkarkojnë aplikacione që përmbajnë CraxsRAT mund të përballen me vjedhje kredenciale dhe tërheqje të paautorizuar të fondeve të tyre.