SpyAgent Mobile Malware
A SpyAgent néven ismert új, mobil rosszindulatú programok kampánya megkezdődött a dél-koreai Android-felhasználók megcélzásában, és egyedülálló fenyegetést jelent azáltal, hogy az eszközök képeit mnemonikus kulcsok után kutatja. A kutatók azt észlelték, hogy az alkalmazás kiterjedt, ami immár az Egyesült Királyság felhasználóit is érinti.
A rosszindulatú programot hamis Android-alkalmazásokon keresztül terjesztik, amelyek legitimnek tűnnek, és banki, kormányzati, streaming- és segédprogramokat utánoznak. Az év eleje óta több mint 280 csaló kérelmet azonosítottak ezzel a kampánnyal kapcsolatban.
Tartalomjegyzék
A SpyAgent kifinomult funkciókat mutat be az adatgyűjtéshez
A támadás nem biztonságos linkeket tartalmazó SMS-üzenetekkel kezdődik, amelyek arra kérik a felhasználókat, hogy APK-fájlként töltsenek le alkalmazásokat megtévesztő webhelyekről. A telepítést követően ezek az alkalmazások tolakodó engedélyeket kérnek az eszközön lévő adatokhoz, például névjegyekhez, SMS-üzenetekhez, fényképekhez és egyéb bizalmas információkhoz, amelyeket aztán megosztanak a támadók által irányított szerverrel.
A rosszindulatú program egyik leginkább aggasztó képessége az, hogy optikai karakterfelismerést (OCR) használ a mnemonikus kulcsok rögzítésére – olyan helyreállítási kifejezések, amelyek lehetővé teszik a felhasználók számára, hogy visszaállítsák a hozzáférést kriptovaluta pénztárcájukhoz. Ha a támadók hozzáférnek ezekhez a kulcsokhoz, átvehetik az irányítást az áldozatok pénztárcája felett, és begyűjthetik a bennük tárolt összes pénzt.
A jelek a SpyAgent iOS-felhasználók célzása felé mutatnak
A Command-and-Control (C2) infrastruktúrának jelentős biztonsági hibái voltak, beleértve a webhely gyökérkönyvtárához való korlátlan hozzáférést és az áldozatok adatainak nyilvánosságra hozatalát. A szerver egy adminisztrátori panelt is tartalmaz, amely lehetővé teszi a fertőzött eszközök távoli vezérlését. Nevezetesen, az iOS 15.8.2 rendszert futtató Apple iPhone jelenléte, amelynek rendszernyelve egyszerűsített kínai ("zh"), arra utal, hogy az iOS-felhasználókat is célba vehetik.
Kezdetben a kártevő alapvető HTTP kéréseken keresztül kommunikált a C2 szerverrel, ami ugyan hatékony volt, de megkönnyítette a biztonsági eszközök észlelését és blokkolását. Stratégiai váltásként azonban a kártevő WebSocket kapcsolatokat használ, ami hatékonyabb, valós idejű, kétirányú kommunikációt tesz lehetővé a C2 szerverrel, miközben megnehezíti a hagyományos HTTP-alapú megfigyelő eszközök észlelését.
A mobileszközök továbbra is a kibertámadások kiemelt célpontjai
2024 elején a kiberbiztonsági szakértők felfedezték a CraxsRAT néven ismert új Android Remote Access Trojan (RAT), amely legalább 2024 februárja óta célozza a malajziai banki felhasználókat adathalász webhelyeken keresztül. Figyelemre méltó az is, hogy a CraxsRAT kampányokat korábban már 2023 áprilisában azonosították Szingapúrban.
A CraxsRAT egy jól ismert rosszindulatú programcsalád az Android Remote Administration Tools (RAT) kategóriában, és olyan funkciókat kínál, mint a távoli eszközvezérlés és a kémprogram-funkciók. Ide tartozik a billentyűnaplózás, a gesztusok végrehajtása, valamint a kamerákról, képernyőkről és hívásokról történő videofelvétel. A CraxsRAT-ot tartalmazó alkalmazásokat letöltő felhasználók hitelesítő adatok ellopásával és pénzeszközeik jogosulatlan visszavonásával szembesülhetnek.
