SpyAgent Mobile Malware
En ny mobil kampanj för skadlig programvara, känd som SpyAgent, har börjat rikta in sig på Android-användare i Sydkorea, vilket utgör ett unikt hot genom att skanna enhetsbilder efter mnemoniska nycklar. Forskare har noterat en expansion i dess räckvidd, som nu även påverkar användare i Storbritannien.
Skadlig programvara distribueras genom falska Android-applikationer som verkar vara legitima, som efterliknar bank-, regerings-, streaming- och verktygsapplikationer. Sedan början av året har över 280 bedrägliga ansökningar identifierats i samband med denna kampanj.
Innehållsförteckning
SpyAgent demonstrerar sofistikerade funktioner för att samla in data
Attacken börjar med SMS-meddelanden som innehåller osäkra länkar som uppmanar användare att ladda ner applikationer som APK-filer från vilseledande webbplatser. När de väl är installerade begär dessa applikationer påträngande behörigheter för att komma åt data på enheten, inklusive kontakter, SMS-meddelanden, foton och annan känslig information, som sedan delas med en server som kontrolleras av angriparna.
En av skadlig programvaras mest oroande funktioner är dess användning av optisk teckenigenkänning (OCR) för att fånga in minnesnycklar – återställningsfraser som låter användare återställa åtkomst till sina kryptovaluta-plånböcker. Om angriparna har tillgång till dessa nycklar kan de ta kontroll över offrens plånböcker och samla in alla pengar som finns lagrade i dem.
Tecken pekar mot SpyAgent som riktar sig mot iOS-användare
Command-and-Control-infrastrukturen (C2) hade betydande säkerhetsbrister, inklusive obegränsad åtkomst till webbplatsens rotkatalog och exponering av offerdata. Servern innehåller även en administratörspanel som möjliggör fjärrkontroll av infekterade enheter. Anmärkningsvärt är att närvaron av en Apple iPhone som kör iOS 15.8.2 med dess systemspråk inställt på förenklad kinesiska ('zh') tyder på att iOS-användare också kan vara måltavla.
Till en början kommunicerade den skadliga programvaran med C2-servern genom grundläggande HTTP-förfrågningar, vilket, även om det var effektivt, gjorde det lättare för säkerhetsverktyg att upptäcka och blockera. Men i ett strategiskt skifte använder skadlig programvara nu WebSocket-anslutningar, vilket möjliggör effektivare tvåvägskommunikation i realtid med C2-servern samtidigt som det gör det svårare för traditionella HTTP-baserade övervakningsverktyg att upptäcka.
Mobila enheter förblir ett framträdande mål för cyberattacker
I början av 2024 upptäckte cybersäkerhetsexperter en ny Android Remote Access Trojan (RAT) känd som CraxsRAT, som har riktat sig till bankanvändare i Malaysia sedan åtminstone februari 2024 via nätfiskewebbplatser. Det är också anmärkningsvärt att CraxsRAT -kampanjer tidigare har identifierats i Singapore så tidigt som i april 2023.
CraxsRAT är en välkänd skadlig programvara inom kategorin Android Remote Administration Tools (RAT), som erbjuder funktioner som fjärrkontroll av enheter och spionprogram. Dessa inkluderar tangentloggning, exekvering av gester och inspelning av video från kameror, skärmar och samtal. Användare som laddar ner applikationer som innehåller CraxsRAT kan råka ut för stöld av inloggningsuppgifter och obehörigt uttag av sina pengar.
