SpyAgent Mobile Malware
Nová kampaň proti škodlivému softvéru pre mobilné zariadenia, známa ako SpyAgent, sa začala zameriavať na používateľov systému Android v Južnej Kórei, čo predstavuje jedinečnú hrozbu skenovaním obrázkov zariadení, aby sa našli mnemotechnické kľúče. Výskumníci zaznamenali rozšírenie jeho dosahu, ktoré teraz ovplyvňuje aj používateľov v Spojenom kráľovstve.
Škodlivý softvér je distribuovaný prostredníctvom falošných aplikácií pre Android, ktoré sa zdajú byť legitímne a napodobňujú bankové, vládne, streamingové a pomocné aplikácie. Od začiatku roka bolo v súvislosti s touto kampaňou identifikovaných viac ako 280 podvodných aplikácií.
Obsah
SpyAgent demonštruje sofistikované funkcie na zber dát
Útok začína SMS správami obsahujúcimi nebezpečné odkazy, ktoré vyzývajú používateľov, aby si stiahli aplikácie ako súbory APK z klamlivých webových stránok. Po nainštalovaní si tieto aplikácie vyžiadajú rušivé povolenia na prístup k údajom na zariadení, vrátane kontaktov, SMS správ, fotografií a iných citlivých informácií, ktoré sa potom zdieľajú so serverom kontrolovaným útočníkmi.
Jednou z najviac znepokojujúcich schopností malvéru je použitie optického rozpoznávania znakov (OCR) na zachytenie mnemotechnických kľúčov – fráz na obnovenie, ktoré používateľom umožňujú obnoviť prístup k ich peňaženkám s kryptomenami. Ak majú útočníci prístup k týmto kľúčom, môžu prevziať kontrolu nad peňaženkami obetí a zhromaždiť všetky v nich uložené prostriedky.
Známky smerujú k zacieleniu SpyAgent na používateľov iOS
Infraštruktúra Command-and-Control (C2) mala významné bezpečnostné chyby vrátane neobmedzeného prístupu ku koreňovému adresáru stránky a vystavenia údajov obetí. Server obsahuje aj administrátorský panel, ktorý umožňuje vzdialenú kontrolu infikovaných zariadení. Najmä prítomnosť zariadenia Apple iPhone so systémom iOS 15.8.2 s jazykom systému nastaveným na zjednodušenú čínštinu („zh“) naznačuje, že cieľom môžu byť aj používatelia iOS.
Pôvodne malvér komunikoval so serverom C2 prostredníctvom základných požiadaviek HTTP, čo síce bolo účinné, ale uľahčilo detekciu a blokovanie bezpečnostných nástrojov. V rámci strategického posunu však malvér teraz využíva pripojenia WebSocket, čo umožňuje efektívnejšiu obojsmernú komunikáciu v reálnom čase so serverom C2 a zároveň sťažuje detekciu tradičných monitorovacích nástrojov založených na HTTP.
Mobilné zariadenia zostávajú hlavným cieľom kybernetických útokov
Začiatkom roku 2024 odborníci na kybernetickú bezpečnosť odhalili nový trójsky kôň Android Remote Access (RAT) známy ako CraxsRAT, ktorý sa zameriava na používateľov bankovníctva v Malajzii minimálne od februára 2024 prostredníctvom phishingových webových stránok. Je tiež pozoruhodné, že kampane CraxsRAT boli predtým identifikované v Singapure už v apríli 2023.
CraxsRAT je známa rodina škodlivého softvéru v kategórii Android Remote Administration Tools (RAT), ktorá ponúka funkcie ako vzdialené ovládanie zariadenia a funkcie spywaru. Patria sem keylogging, vykonávanie gest a nahrávanie videa z kamier, obrazoviek a hovorov. Používatelia, ktorí si stiahnu aplikácie obsahujúce CraxsRAT, môžu čeliť krádeži poverení a neoprávnenému výberu svojich prostriedkov.
