Phần mềm độc hại SpyAgent Mobile

Một chiến dịch phần mềm độc hại di động mới, được gọi là SpyAgent, đã bắt đầu nhắm mục tiêu vào người dùng Android ở Hàn Quốc, gây ra mối đe dọa độc đáo bằng cách quét hình ảnh thiết bị để tìm khóa ghi nhớ. Các nhà nghiên cứu đã ghi nhận sự mở rộng phạm vi của nó, hiện cũng ảnh hưởng đến người dùng ở Anh.

Phần mềm độc hại được phân phối thông qua các ứng dụng Android giả mạo có vẻ hợp pháp, bắt chước các ứng dụng ngân hàng, chính phủ, phát trực tuyến và tiện ích. Kể từ đầu năm, hơn 280 ứng dụng gian lận đã được xác định có liên quan đến chiến dịch này.

SpyAgent trình diễn các tính năng tinh vi để thu thập dữ liệu

Cuộc tấn công bắt đầu bằng tin nhắn SMS chứa các liên kết không an toàn nhắc nhở người dùng tải xuống các ứng dụng dưới dạng tệp APK từ các trang web lừa đảo. Sau khi cài đặt, các ứng dụng này yêu cầu quyền xâm nhập để truy cập dữ liệu trên thiết bị, bao gồm danh bạ, tin nhắn SMS, ảnh và các thông tin nhạy cảm khác, sau đó được chia sẻ với máy chủ do kẻ tấn công kiểm soát.

Một trong những khả năng đáng lo ngại nhất của phần mềm độc hại này là sử dụng nhận dạng ký tự quang học (OCR) để ghi lại các khóa ghi nhớ—cụm từ khôi phục cho phép người dùng khôi phục quyền truy cập vào ví tiền điện tử của họ. Nếu kẻ tấn công có quyền truy cập vào các khóa này, chúng có thể kiểm soát ví của nạn nhân và thu thập tất cả tiền được lưu trữ trong đó.

Dấu hiệu cho thấy SpyAgent đang nhắm mục tiêu vào người dùng iOS

Cơ sở hạ tầng Command-and-Control (C2) có những lỗi bảo mật đáng kể, bao gồm quyền truy cập không hạn chế vào thư mục gốc của trang web và tiết lộ dữ liệu nạn nhân. Máy chủ cũng chứa bảng điều khiển quản trị viên cho phép điều khiển từ xa các thiết bị bị nhiễm. Đáng chú ý, sự hiện diện của một chiếc iPhone của Apple chạy iOS 15.8.2 với ngôn ngữ hệ thống được đặt thành tiếng Trung giản thể ('zh') cho thấy người dùng iOS cũng có thể bị nhắm mục tiêu.

Ban đầu, phần mềm độc hại giao tiếp với máy chủ C2 thông qua các yêu cầu HTTP cơ bản, mặc dù hiệu quả, nhưng giúp các công cụ bảo mật dễ phát hiện và chặn hơn. Tuy nhiên, trong một sự thay đổi chiến lược, phần mềm độc hại hiện sử dụng các kết nối WebSocket, cho phép giao tiếp hai chiều hiệu quả hơn, theo thời gian thực với máy chủ C2 đồng thời cũng khiến các công cụ giám sát dựa trên HTTP truyền thống khó phát hiện hơn.

Thiết bị di động vẫn là mục tiêu nổi bật của các cuộc tấn công mạng

Vào đầu năm 2024, các chuyên gia an ninh mạng đã phát hiện ra một Trojan truy cập từ xa Android (RAT) mới có tên là CraxsRAT, nhắm mục tiêu vào người dùng ngân hàng tại Malaysia ít nhất là từ tháng 2 năm 2024 thông qua các trang web lừa đảo. Cũng đáng chú ý là các chiến dịch CraxsRAT trước đây đã được xác định ở Singapore vào đầu tháng 4 năm 2023.

CraxsRAT là một họ phần mềm độc hại nổi tiếng trong danh mục Công cụ quản trị từ xa Android (RAT), cung cấp các khả năng như điều khiển thiết bị từ xa và chức năng phần mềm gián điệp. Bao gồm ghi lại phím, thực hiện cử chỉ và ghi lại video từ camera, màn hình và cuộc gọi. Người dùng tải xuống các ứng dụng có chứa CraxsRAT có thể bị đánh cắp thông tin xác thực và rút tiền trái phép.