SpyAgent Мобильное вредоносное ПО
Новая вредоносная кампания для мобильных устройств, известная как SpyAgent, начала нацеливаться на пользователей Android в Южной Корее, представляя уникальную угрозу, сканируя изображения устройств на наличие мнемонических ключей. Исследователи отметили расширение ее охвата, теперь она затрагивает и пользователей в Великобритании.
Вредоносное ПО распространяется через поддельные приложения Android, которые выглядят как легитимные, имитируя банковские, правительственные, потоковые и утилитарные приложения. С начала года в связи с этой кампанией было выявлено более 280 мошеннических приложений.
Оглавление
SpyAgent демонстрирует сложные функции сбора данных
Атака начинается с SMS-сообщений, содержащих небезопасные ссылки, которые побуждают пользователей загружать приложения в виде APK-файлов с обманных веб-сайтов. После установки эти приложения запрашивают навязчивые разрешения на доступ к данным на устройстве, включая контакты, SMS-сообщения, фотографии и другую конфиденциальную информацию, которая затем передается на сервер, контролируемый злоумышленниками.
Одной из наиболее тревожных возможностей вредоносного ПО является использование оптического распознавания символов (OCR) для захвата мнемонических ключей — фраз восстановления, которые позволяют пользователям восстанавливать доступ к своим криптовалютным кошелькам. Если у злоумышленников есть доступ к этим ключам, они могут взять под контроль кошельки жертв и забрать все хранящиеся в них средства.
Признаки указывают на то, что SpyAgent нацелен на пользователей iOS
Инфраструктура Command-and-Control (C2) имела существенные недостатки безопасности, включая неограниченный доступ к корневому каталогу сайта и раскрытие данных жертвы. Сервер также содержит панель администратора, которая позволяет удаленно управлять зараженными устройствами. Примечательно, что наличие Apple iPhone под управлением iOS 15.8.2 с системным языком, установленным на упрощенный китайский ('zh'), предполагает, что пользователи iOS также могут быть целью.
Первоначально вредоносная программа взаимодействовала с сервером C2 посредством простых HTTP-запросов, которые, будучи эффективными, облегчали обнаружение и блокировку для средств безопасности. Однако в стратегическом сдвиге вредоносная программа теперь использует соединения WebSocket, обеспечивая более эффективную двустороннюю связь с сервером C2 в режиме реального времени, а также затрудняя обнаружение традиционными средствами мониторинга на основе HTTP.
Мобильные устройства остаются основной целью кибератак
В начале 2024 года эксперты по кибербезопасности обнаружили новый Android Remote Access Trojan (RAT), известный как CraxsRAT, который был нацелен на банковских пользователей в Малайзии по крайней мере с февраля 2024 года через фишинговые веб-сайты. Также стоит отметить, что кампании CraxsRAT ранее были обнаружены в Сингапуре еще в апреле 2023 года.
CraxsRAT — это известное семейство вредоносных программ в категории Android Remote Administration Tools (RAT), предлагающее такие возможности, как удаленное управление устройствами и функции шпионского ПО. К ним относятся кейлоггерство, выполнение жестов и запись видео с камер, экранов и звонков. Пользователи, загружающие приложения, содержащие CraxsRAT, могут столкнуться с кражей учетных данных и несанкционированным снятием средств.
