SpyAgent Mobil Kötü Amaçlı Yazılım
SpyAgent olarak bilinen yeni bir mobil kötü amaçlı yazılım kampanyası, Güney Kore'deki Android kullanıcılarını hedef almaya başladı ve cihaz görüntülerini anımsatıcı anahtarlar için tarayarak benzersiz bir tehdit oluşturdu. Araştırmacılar, erişiminde bir genişleme olduğunu ve artık İngiltere'deki kullanıcıları da etkilediğini belirtti.
Kötü amaçlı yazılım, bankacılık, hükümet, yayın ve yardımcı program uygulamalarını taklit eden meşru görünen sahte Android uygulamaları aracılığıyla dağıtılıyor. Yılın başından bu yana, bu kampanyayla bağlantılı olarak 280'den fazla sahte uygulama tespit edildi.
İçindekiler
SpyAgent, Veri Toplamak İçin Gelişmiş Özellikler Sunuyor
Saldırı, kullanıcıları aldatıcı web sitelerinden APK dosyaları olarak uygulamaları indirmeye yönlendiren güvenli olmayan bağlantılar içeren SMS mesajlarıyla başlar. Bu uygulamalar yüklendikten sonra, kişiler, SMS mesajları, fotoğraflar ve diğer hassas bilgiler dahil olmak üzere cihazdaki verilere erişmek için izinsiz izinler ister ve bu bilgiler daha sonra saldırganlar tarafından kontrol edilen bir sunucuyla paylaşılır.
Kötü amaçlı yazılımın en endişe verici yeteneklerinden biri, kullanıcıların kripto para cüzdanlarına erişimi geri yüklemelerine olanak tanıyan kurtarma ifadeleri olan hafıza anahtarlarını yakalamak için optik karakter tanıma (OCR) kullanmasıdır. Saldırganlar bu anahtarlara erişirse, kurbanların cüzdanlarını kontrol altına alabilir ve içlerinde saklanan tüm fonları toplayabilirler.
SpyAgent’ın iOS Kullanıcılarını Hedef Aldığına İşaret Eden İşaretler
Komuta ve Kontrol (C2) altyapısı, sitenin kök dizinine sınırsız erişim ve kurban verilerinin ifşası gibi önemli güvenlik açıklarına sahipti. Sunucu ayrıca, enfekte cihazların uzaktan kontrol edilmesini sağlayan bir yönetici paneli içerir. Özellikle, sistem dili Basitleştirilmiş Çince ('zh') olarak ayarlanmış iOS 15.8.2 çalıştıran bir Apple iPhone'un varlığı, iOS kullanıcılarının da hedef alınabileceğini düşündürmektedir.
Başlangıçta, kötü amaçlı yazılım C2 sunucusuyla temel HTTP istekleri aracılığıyla iletişim kuruyordu; bu etkili olsa da güvenlik araçlarının algılamasını ve engellemesini kolaylaştırıyordu. Ancak, stratejik bir değişimle, kötü amaçlı yazılım artık WebSocket bağlantılarını kullanıyor ve C2 sunucusuyla daha verimli, gerçek zamanlı, iki yönlü iletişim sağlarken aynı zamanda geleneksel HTTP tabanlı izleme araçlarının algılamasını da zorlaştırıyor.
Mobil Cihazlar Siber Saldırılar İçin Önemli Bir Hedef Olmaya Devam Ediyor
2024'ün başlarında, siber güvenlik uzmanları, en azından Şubat 2024'ten beri Malezya'daki bankacılık kullanıcılarını kimlik avı web siteleri aracılığıyla hedef alan CraxsRAT olarak bilinen yeni bir Android Uzaktan Erişim Truva Atı'nı (RAT) ortaya çıkardı. Ayrıca, CraxsRAT kampanyalarının daha önce Singapur'da Nisan 2023 gibi erken bir tarihte tespit edilmiş olması da dikkat çekicidir.
CraxsRAT, Android Uzaktan Yönetim Araçları (RAT) kategorisinde iyi bilinen bir kötü amaçlı yazılım ailesidir ve uzaktan cihaz kontrolü ve casus yazılım işlevleri gibi yetenekler sunar. Bunlara tuş kaydı, hareketlerin yürütülmesi ve kameralardan, ekranlardan ve aramalardan video kaydı dahildir. CraxsRAT içeren uygulamaları indiren kullanıcılar kimlik bilgisi hırsızlığı ve fonlarının yetkisiz çekilmesiyle karşı karşıya kalabilir.
