SpyAgent Mobile Malware
Нова кампанія зловмисного програмного забезпечення для мобільних пристроїв, відома як SpyAgent, почала націлюватися на користувачів Android у Південній Кореї, створюючи унікальну загрозу, скануючи зображення пристроїв на наявність мнемонічних ключів. Дослідники відзначили розширення охоплення, яке тепер також впливає на користувачів у Великобританії.
Зловмисне програмне забезпечення поширюється через підроблені додатки Android, які виглядають легітимними, імітуючи банківські, урядові, потокові та службові програми. З початку року в рамках цієї кампанії було виявлено понад 280 шахрайських додатків.
Зміст
SpyAgent демонструє складні функції для збору даних
Атака починається з SMS-повідомлень, що містять небезпечні посилання, які спонукають користувачів завантажувати програми у вигляді файлів APK із оманливих веб-сайтів. Після встановлення ці програми запитують дозволи на доступ до даних на пристрої, включаючи контакти, SMS-повідомлення, фотографії та іншу конфіденційну інформацію, яка потім передається на сервер, контрольований зловмисниками.
Однією з можливостей шкідливого програмного забезпечення, яке викликає найбільше занепокоєння, є використання оптичного розпізнавання символів (OCR) для захоплення мнемонічних ключів — фраз відновлення, які дозволяють користувачам відновити доступ до своїх гаманців криптовалюти. Якщо зловмисники мають доступ до цих ключів, вони можуть взяти під контроль гаманці жертв і зібрати всі кошти, що зберігаються в них.
Ознаки вказують на те, що SpyAgent націлений на користувачів iOS
Інфраструктура командування та контролю (C2) мала значні недоліки в безпеці, включаючи необмежений доступ до кореневого каталогу сайту та розкриття даних жертв. Сервер також містить панель адміністратора, яка дозволяє дистанційно керувати зараженими пристроями. Примітно, що наявність Apple iPhone під керуванням iOS 15.8.2 із системною мовою, встановленою на спрощену китайську ('zh'), свідчить про те, що користувачі iOS також можуть стати ціллю.
Спочатку зловмисне програмне забезпечення спілкувалося з сервером C2 через базові HTTP-запити, які, незважаючи на ефективність, спрощували виявлення та блокування інструментами безпеки. Однак у стратегічній зміні зловмисне програмне забезпечення тепер використовує з’єднання WebSocket, що забезпечує більш ефективний двосторонній зв’язок у реальному часі з сервером C2, а також ускладнює виявлення традиційними інструментами моніторингу на основі HTTP.
Мобільні пристрої залишаються основною мішенню для кібератак
На початку 2024 року експерти з кібербезпеки виявили новий троян Android Remote Access (RAT), відомий як CraxsRAT, який принаймні з лютого 2024 року націлився на користувачів банківських установ у Малайзії через фішингові веб-сайти. Також варто відзначити, що кампанії CraxsRAT раніше були виявлені в Сінгапурі ще в квітні 2023 року.
CraxsRAT — добре відоме сімейство зловмисних програм із категорії інструментів віддаленого адміністрування Android (RAT), що пропонує такі можливості, як дистанційне керування пристроєм і функції шпигунського програмного забезпечення. До них відносяться клавіатурні журнали, виконання жестів і запис відео з камер, екранів і викликів. Користувачі, які завантажують програми, що містять CraxsRAT, можуть зіткнутися з крадіжкою облікових даних і несанкціонованим вилученням своїх коштів.
