มัลแวร์มือถือ SpyAgent

แคมเปญมัลแวร์บนมือถือตัวใหม่ที่เรียกว่า SpyAgent ได้เริ่มกำหนดเป้าหมายผู้ใช้ Android ในเกาหลีใต้ โดยสร้างภัยคุกคามที่ไม่เหมือนใครด้วยการสแกนภาพอุปกรณ์เพื่อค้นหาคีย์ช่วยจำ นักวิจัยสังเกตเห็นว่าแคมเปญนี้ขยายขอบเขตออกไป โดยขณะนี้ส่งผลกระทบต่อผู้ใช้ในสหราชอาณาจักรด้วยเช่นกัน

มัลแวร์แพร่กระจายผ่านแอปพลิเคชัน Android ปลอมที่ดูเหมือนถูกกฎหมาย โดยเลียนแบบแอปพลิเคชันธนาคาร รัฐบาล สตรีมมิ่ง และยูทิลิตี้ ตั้งแต่ต้นปีนี้ มีการระบุแอปพลิเคชันปลอมมากกว่า 280 รายการที่เกี่ยวข้องกับแคมเปญนี้

SpyAgent สาธิตคุณสมบัติอันล้ำสมัยในการเก็บเกี่ยวข้อมูล

การโจมตีเริ่มต้นด้วยข้อความ SMS ที่มีลิงก์ที่ไม่ปลอดภัยซึ่งแจ้งให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันในรูปแบบไฟล์ APK จากเว็บไซต์หลอกลวง เมื่อติดตั้งแล้ว แอปพลิเคชันเหล่านี้จะขอสิทธิ์การเข้าถึงข้อมูลบนอุปกรณ์ รวมถึงรายชื่อผู้ติดต่อ ข้อความ SMS รูปภาพ และข้อมูลละเอียดอ่อนอื่นๆ ซึ่งจากนั้นจะแชร์ข้อมูลดังกล่าวกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่

ความสามารถที่น่ากังวลที่สุดอย่างหนึ่งของมัลแวร์คือการใช้ระบบจดจำอักขระด้วยแสง (OCR) เพื่อดักจับคีย์ช่วยจำ ซึ่งเป็นวลีการกู้คืนที่ให้ผู้ใช้กู้คืนการเข้าถึงกระเป๋าเงินสกุลเงินดิจิทัลของตนได้ หากผู้โจมตีสามารถเข้าถึงคีย์เหล่านี้ได้ พวกเขาก็จะสามารถควบคุมกระเป๋าเงินของเหยื่อและเก็บเงินทั้งหมดที่จัดเก็บไว้ในกระเป๋าเงินได้

สัญญาณบ่งชี้ว่า SpyAgent กำลังเล็งเป้าไปที่ผู้ใช้ iOS

โครงสร้างพื้นฐานของระบบสั่งการและควบคุม (C2) มีข้อบกพร่องด้านความปลอดภัยที่สำคัญ รวมถึงการเข้าถึงไดเร็กทอรีรูทของไซต์โดยไม่จำกัดและการเปิดเผยข้อมูลของเหยื่อ นอกจากนี้ เซิร์ฟเวอร์ยังมีแผงควบคุมผู้ดูแลระบบที่เปิดใช้งานการควบคุมอุปกรณ์ที่ติดไวรัสจากระยะไกล โดยเฉพาะอย่างยิ่ง การมี iPhone ของ Apple ที่ใช้ระบบปฏิบัติการ iOS 15.8.2 พร้อมภาษาของระบบที่ตั้งค่าเป็นภาษาจีนตัวย่อ ('zh') แสดงให้เห็นว่าผู้ใช้ iOS อาจตกเป็นเป้าหมายด้วยเช่นกัน

ในช่วงแรก มัลแวร์สื่อสารกับเซิร์ฟเวอร์ C2 ผ่านคำขอ HTTP พื้นฐาน ซึ่งแม้จะได้ผลแต่ก็ทำให้เครื่องมือด้านความปลอดภัยตรวจจับและบล็อกได้ง่ายขึ้น อย่างไรก็ตาม ในการเปลี่ยนแปลงเชิงกลยุทธ์ มัลแวร์ใช้การเชื่อมต่อ WebSocket ซึ่งช่วยให้สื่อสารกับเซิร์ฟเวอร์ C2 ได้อย่างมีประสิทธิภาพมากขึ้นแบบเรียลไทม์และสองทาง ในขณะเดียวกันก็ทำให้เครื่องมือตรวจสอบที่ใช้ HTTP แบบดั้งเดิมตรวจจับได้ยากขึ้นด้วย

อุปกรณ์พกพายังคงเป็นเป้าหมายหลักของการโจมตีทางไซเบอร์

ในช่วงต้นปี 2024 ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบโทรจัน Android Remote Access (RAT) ตัวใหม่ที่เรียกว่า CraxsRAT ซึ่งได้กำหนดเป้าหมายผู้ใช้บริการธนาคารในมาเลเซียตั้งแต่เดือนกุมภาพันธ์ 2024 เป็นอย่างน้อยผ่านเว็บไซต์ฟิชชิ่ง นอกจากนี้ ยังสังเกตได้ว่าแคมเปญ CraxsRAT เคยถูกระบุในสิงคโปร์ตั้งแต่เดือนเมษายน 2023

CraxsRAT เป็นมัลแวร์ที่รู้จักกันดีในกลุ่มเครื่องมือการดูแลระบบระยะไกลของ Android (RAT) ซึ่งมีคุณสมบัติต่างๆ เช่น การควบคุมอุปกรณ์ระยะไกลและฟังก์ชันสปายแวร์ ซึ่งรวมถึงการบันทึกแป้นพิมพ์ การดำเนินการท่าทาง และการบันทึกวิดีโอจากกล้อง หน้าจอ และการโทร ผู้ใช้ที่ดาวน์โหลดแอปพลิเคชันที่มี CraxsRAT อาจเผชิญกับการขโมยข้อมูลประจำตัวและเงินที่ถูกถอนออกโดยไม่ได้รับอนุญาต