SpyAgent Mobile -haittaohjelma
Uusi mobiilihaittaohjelmakampanja, joka tunnetaan nimellä SpyAgent, on alkanut kohdistaa Android-käyttäjiin Etelä-Koreassa, mikä muodostaa ainutlaatuisen uhan skannaamalla laitteen kuvista muistiinpanoja. Tutkijat ovat havainneet sen ulottuvuuden laajentuneen, mikä vaikuttaa nyt myös käyttäjiin Isossa-Britanniassa.
Haittaohjelmaa levitetään väärennettyjen Android-sovellusten kautta, jotka näyttävät olevan laillisia ja jäljittelevät pankki-, hallinto-, suoratoisto- ja apuohjelmia. Vuoden alusta lähtien tämän kampanjan yhteydessä on tunnistettu yli 280 petoshakemusta.
Sisällysluettelo
SpyAgent esittelee edistyneitä ominaisuuksia tietojen keräämiseen
Hyökkäys alkaa tekstiviesteillä, jotka sisältävät vaarallisia linkkejä, jotka kehottavat käyttäjiä lataamaan sovelluksia APK-tiedostoina petollisilta verkkosivustoilta. Asennuksen jälkeen nämä sovellukset pyytävät tunkeilevia lupia päästäkseen käsiksi laitteen tietoihin, kuten yhteystietoihin, tekstiviesteihin, valokuviin ja muihin arkaluontoisiin tietoihin, jotka jaetaan sitten hyökkääjien hallitseman palvelimen kanssa.
Yksi haittaohjelmien huolestuttavimmista ominaisuuksista on sen optisen merkintunnistuksen (OCR) käyttö muistoavainten kaappaamiseen – palautuslausekkeisiin, joiden avulla käyttäjät voivat palauttaa pääsyn kryptovaluuttalompakoihinsa. Jos hyökkääjillä on pääsy näihin avaimiin, he voivat ottaa uhrien lompakot hallintaansa ja kerätä kaikki niihin tallennetut varat.
Merkit viittaavat kohti SpyAgentin kohdistamista iOS-käyttäjiin
Command-and-Control (C2) -infrastruktuurissa oli merkittäviä tietoturvapuutteita, mukaan lukien rajoittamaton pääsy sivuston juurihakemistoon ja uhrien tietojen paljastaminen. Palvelimessa on myös järjestelmänvalvojapaneeli, joka mahdollistaa tartunnan saaneiden laitteiden etähallinnan. Erityisesti Apple iPhonen, jossa on iOS 15.8.2 -käyttöjärjestelmä ja jonka järjestelmän kieli on yksinkertaistettu kiina ('zh'), olemassaolo viittaa siihen, että myös iOS-käyttäjiä voidaan kohdentaa.
Aluksi haittaohjelma kommunikoi C2-palvelimen kanssa HTTP-peruspyyntöjen kautta, mikä, vaikka se oli tehokasta, helpotti tietoturvatyökalujen havaitsemista ja estämistä. Strategisessa muutoksessa haittaohjelma kuitenkin käyttää nyt WebSocket-yhteyksiä, mikä mahdollistaa tehokkaamman, reaaliaikaisen, kaksisuuntaisen viestinnän C2-palvelimen kanssa ja vaikeuttaa samalla perinteisten HTTP-pohjaisten valvontatyökalujen havaitsemista.
Mobiililaitteet ovat edelleen merkittävä kyberhyökkäysten kohde
Alkuvuodesta 2024 kyberturvallisuusasiantuntijat paljastivat uuden Android Remote Access Trojan (RAT), joka tunnetaan nimellä CraxsRAT, joka on kohdistanut Malesian pankkikäyttäjiin ainakin helmikuusta 2024 lähtien tietojenkalastelusivustojen kautta. On myös huomionarvoista, että CraxsRAT -kampanjoita on aiemmin tunnistettu Singaporessa jo huhtikuussa 2023.
CraxsRAT on tunnettu haittaohjelmaperhe Android Remote Administration Tools (RAT) -kategoriassa, ja se tarjoaa ominaisuuksia, kuten laitteen etähallintaa ja vakoiluohjelmatoimintoja. Näitä ovat näppäinkirjaus, eleiden suorittaminen ja videon tallentaminen kameroista, näytöistä ja puheluista. Käyttäjät, jotka lataavat CraxsRAT-sovelluksia sisältäviä sovelluksia, voivat kohdata valtuustietojen varastamisen ja varojensa luvattoman noston.
