SpyAgent Mobile Malware
Нова кампања злонамерног софтвера за мобилне уређаје, позната као СпиАгент, почела је да циља на кориснике Андроид-а у Јужној Кореји, представљајући јединствену претњу скенирањем слика уређаја у потрази за мнемоничким кључевима. Истраживачи су приметили проширење његовог домета, које сада утиче и на кориснике у Великој Британији.
Малвер се дистрибуира преко лажних Андроид апликација које изгледају као легитимне, опонашајући банкарске, владине, стриминг и услужне апликације. Од почетка године идентификовано је преко 280 лажних пријава у вези са овом кампањом.
Преглед садржаја
СпиАгент демонстрира софистициране карактеристике прикупљања података
Напад почиње СМС порукама које садрже несигурне везе које подстичу кориснике да преузимају апликације као АПК датотеке са обмањујућих веб локација. Једном инсталиране, ове апликације захтевају наметљиве дозволе за приступ подацима на уређају, укључујући контакте, СМС поруке, фотографије и друге осетљиве информације, које се затим деле са сервером који контролишу нападачи.
Једна од најзабрињавајућих могућности малвера је његова употреба оптичког препознавања карактера (ОЦР) за хватање мнемоничких кључева — фраза за опоравак које омогућавају корисницима да врате приступ својим новчаницима за криптовалуте. Ако нападачи имају приступ овим кључевима, могу преузети контролу над новчаницима жртава и прикупити сва средства која се налазе у њима.
Знакови указују на шпијунски агент који циља кориснике иОС-а
Инфраструктура за команду и контролу (Ц2) имала је значајне безбедносне пропусте, укључујући неограничен приступ основном директоријуму сајта и излагање података о жртвама. Сервер такође садржи администраторски панел који омогућава даљинско управљање зараженим уређајима. Приметно, присуство Аппле иПхоне-а који користи иОС 15.8.2 са језиком система постављеним на поједностављени кинески ('зх') сугерише да би корисници иОС-а такође могли бити циљани.
У почетку, злонамерни софтвер је комуницирао са Ц2 сервером путем основних ХТТП захтева, што је, иако делотворно, олакшало безбедносним алатима да открију и блокирају. Међутим, у стратешкој промени, злонамерни софтвер сада користи ВебСоцкет везе, омогућавајући ефикаснију двосмерну комуникацију у реалном времену са Ц2 сервером, а истовремено отежава откривање традиционалних алата за праћење заснованих на ХТТП-у.
Мобилни уређаји остају истакнута мета за сајбер нападе
Почетком 2024. године, стручњаци за сајбер безбедност открили су нови тројанац за Андроид удаљени приступ (РАТ) познат као ЦраксРАТ, који је циљао банкарске кориснике у Малезији најмање од фебруара 2024. путем пхисхинг веб локација. Такође је вредно напоменути да су ЦраксРАТ кампање раније идентификоване у Сингапуру већ у априлу 2023.
ЦраксРАТ је позната породица злонамерног софтвера у категорији Андроид алата за даљинску администрацију (РАТ), која нуди могућности као што су даљинска контрола уређаја и функције шпијунског софтвера. То укључује кеилоггинг, извршавање покрета и снимање видео записа са камера, екрана и позива. Корисници који преузимају апликације које садрже ЦраксРАТ могу се суочити са крађом акредитива и неовлашћеним повлачењем својих средстава.
