SpyAgent Mobile pahavara
Uus mobiilse pahavara kampaania, mida tuntakse nime all SpyAgent, on hakanud sihima Lõuna-Korea Androidi kasutajaid, kujutades endast ainulaadset ohtu, skannides seadme kujutisi mäluvõtmete otsimiseks. Teadlased on märganud selle haarde laienemist, mis mõjutab nüüd ka Ühendkuningriigi kasutajaid.
Pahavara levitatakse võltsitud Androidi rakenduste kaudu, mis näivad olevat legitiimsed ning jäljendavad pangandus-, valitsus-, voogesituse ja utiliitide rakendusi. Alates aasta algusest on selle kampaaniaga seoses tuvastatud üle 280 petutaotluse.
Sisukord
SpyAgent demonstreerib andmete kogumiseks keerukaid funktsioone
Rünnak algab SMS-sõnumitega, mis sisaldavad ebaturvalisi linke, mis sunnivad kasutajaid petlikelt veebisaitidelt APK-failidena rakendusi alla laadima. Pärast installimist taotlevad need rakendused pealetükkivaid lubasid juurdepääsuks seadmes olevatele andmetele, sealhulgas kontaktidele, SMS-sõnumitele, fotodele ja muule tundlikule teabele, mida seejärel jagatakse ründajate juhitava serveriga.
Üks pahavara kõige murettekitavamaid võimalusi on optilise märgituvastuse (OCR) kasutamine märguandevõtmete hõivamiseks – taastamisfraasid, mis võimaldavad kasutajatel taastada juurdepääsu oma krüptovaluuta rahakotile. Kui ründajatel on nendele võtmetele juurdepääs, saavad nad ohvrite rahakotid kontrolli alla võtta ja koguda kokku kõik nendesse salvestatud rahalised vahendid.
Märgid viitavad iOS-i kasutajate sihtimisele SpyAgent
Command-and-Control (C2) infrastruktuuril oli olulisi turvavigu, sealhulgas piiramatu juurdepääs saidi juurkataloogile ja ohvriandmete paljastamine. Server sisaldab ka administraatoripaneeli, mis võimaldab nakatunud seadmeid kaugjuhtida. Eelkõige viitab iOS 15.8.2-ga töötava Apple iPhone'i olemasolu, mille süsteemikeeleks on seatud lihtsustatud hiina (zh), sellele, et sihitud võivad olla ka iOS-i kasutajad.
Algselt suhtles pahavara C2-serveriga põhiliste HTTP-päringute kaudu, mis küll oli tõhus, kuid muutis turvatööriistade tuvastamise ja blokeerimise lihtsamaks. Strateegilise nihke käigus kasutab pahavara aga nüüd WebSocketi ühendusi, võimaldades tõhusamat, reaalajas ja kahepoolset suhtlust C2-serveriga, muutes samas ka traditsiooniliste HTTP-põhiste jälgimistööriistade tuvastamise raskemaks.
Mobiilseadmed jäävad küberrünnakute silmapaistvaks sihtmärgiks
2024. aasta alguses avastasid küberturvalisuse eksperdid uue Android Remote Access Trooja (RAT) nimega CraxsRAT, mis on andmepüügiveebisaitide kaudu sihitud Malaisia pangakasutajaid alates 2024. aasta veebruarist. Tähelepanuväärne on ka see, et CraxsRAT kampaaniad on Singapuris tuvastatud juba 2023. aasta aprillis.
CraxsRAT on Androidi kaughaldustööriistade (RAT) kategooriasse kuuluv tuntud pahavara perekond, mis pakub selliseid võimalusi nagu seadme kaugjuhtimine ja nuhkvarafunktsioonid. Need hõlmavad klahvilogimist, žestide sooritamist ja video salvestamist kaameratest, ekraanidest ja kõnedest. Kasutajad, kes laadivad alla CraxsRAT-i sisaldavaid rakendusi, võivad silmitsi seista mandaadi varguse ja nende raha volitamata väljavõtmisega.
