SpyAgent Mobile Malware
Isang bagong mobile malware campaign, na kilala bilang SpyAgent, ang nagsimulang mag-target ng mga user ng Android sa South Korea, na naglalagay ng kakaibang banta sa pamamagitan ng pag-scan ng mga larawan ng device para sa mga mnemonic key. Napansin ng mga mananaliksik ang isang paglawak sa abot nito, na nakakaapekto na rin sa mga user sa UK.
Ang malware ay ipinamamahagi sa pamamagitan ng mga pekeng Android application na mukhang lehitimo, na ginagaya ang pagbabangko, gobyerno, streaming at mga utility na application. Mula sa simula ng taon, mahigit 280 mapanlinlang na aplikasyon ang natukoy na may kaugnayan sa kampanyang ito.
Talaan ng mga Nilalaman
Nagpapakita ang SpyAgent ng Mga Sopistikadong Feature para Mag-harvest ng Data
Nagsisimula ang pag-atake sa mga mensaheng SMS na naglalaman ng mga hindi ligtas na link na nag-uudyok sa mga user na mag-download ng mga application bilang mga APK file mula sa mga mapanlinlang na website. Kapag na-install na, humihiling ang mga application na ito ng mapanghimasok na mga pahintulot upang ma-access ang data sa device, kabilang ang mga contact, SMS message, larawan, at iba pang sensitibong impormasyon, na pagkatapos ay ibinabahagi sa isang server na kinokontrol ng mga umaatake.
Ang isa sa mga pinaka-nakababahalang kakayahan ng malware ay ang paggamit nito ng optical character recognition (OCR) upang makuha ang mga mnemonic key—mga parirala sa pag-recover na nagbibigay-daan sa mga user na ibalik ang access sa kanilang mga wallet ng cryptocurrency. Kung ang mga umaatake ay may access sa mga susi na ito, maaari nilang kontrolin ang mga wallet ng mga biktima at kolektahin ang lahat ng mga pondong nakaimbak sa loob ng mga ito.
Ang mga Signs ay Tumuturo Patungo sa SpyAgent na Pag-target sa Mga User ng iOS
Ang imprastraktura ng Command-and-Control (C2) ay may mga makabuluhang bahid sa seguridad, kabilang ang hindi pinaghihigpitang pag-access sa root directory ng site at pagkakalantad ng data ng biktima. Naglalaman din ang server ng administrator panel na nagbibigay-daan sa remote control ng mga nahawaang device. Kapansin-pansin, ang pagkakaroon ng Apple iPhone na nagpapatakbo ng iOS 15.8.2 kasama ang system language nito na nakatakda sa Simplified Chinese ('zh') ay nagmumungkahi na ang mga user ng iOS ay maaari ding ma-target.
Sa una, ang malware ay nakipag-ugnayan sa C2 server sa pamamagitan ng mga pangunahing kahilingan sa HTTP, na, bagama't epektibo, ay naging mas madali para sa mga tool sa seguridad na matukoy at ma-block. Gayunpaman, sa isang strategic shift, ang malware ay gumagamit na ngayon ng mga koneksyon sa WebSocket, na nagpapagana ng mas mahusay, real-time, two-way na komunikasyon sa C2 server habang ginagawang mas mahirap para sa tradisyunal na HTTP-based na mga tool sa pagsubaybay na matukoy.
Ang Mga Mobile Device ay Nananatiling Isang Prominenteng Target para sa Cyberattacks
Noong unang bahagi ng 2024, natuklasan ng mga eksperto sa cybersecurity ang isang bagong Android Remote Access Trojan (RAT) na kilala bilang CraxsRAT, na nagta-target sa mga user ng pagbabangko sa Malaysia mula pa noong Pebrero 2024 sa pamamagitan ng mga website ng phishing. Kapansin-pansin din na ang mga kampanyang CraxsRAT ay dati nang natukoy sa Singapore noong Abril 2023.
Ang CraxsRAT ay isang kilalang pamilya ng malware sa loob ng kategorya ng Android Remote Administration Tools (RAT), na nag-aalok ng mga kakayahan tulad ng remote na device control at spyware function. Kabilang dito ang keylogging, pagsasagawa ng mga galaw, at pag-record ng video mula sa mga camera, screen at mga tawag. Ang mga user na nagda-download ng mga application na naglalaman ng CraxsRAT ay maaaring maharap sa pagnanakaw ng kredensyal at hindi awtorisadong pag-withdraw ng kanilang mga pondo.
