SpyAgent 移动恶意软件

一个名为 SpyAgent 的新移动恶意软件活动已开始针对韩国的 Android 用户，通过扫描设备图像来获取助记键，构成独特威胁。研究人员注意到，该恶意软件的影响范围正在扩大，现在也影响到了英国的用户。

该恶意软件通过看似合法的假冒 Android 应用程序进行传播，模仿银行、政府、流媒体和实用程序应用程序。自今年年初以来，已发现与此活动有关的欺诈应用程序超过 280 个。

SpyAgent 展示了收集数据的复杂功能

攻击始于包含不安全链接的短信，这些链接提示用户从欺骗性网站下载 APK 文件形式的应用程序。安装后，这些应用程序会请求侵入性权限来访问设备上的数据，包括联系人、短信、照片和其他敏感信息，然后与攻击者控制的服务器共享这些数据。

该恶意软件最令人担忧的功能之一是它使用光学字符识别 (OCR) 来捕获助记键（允许用户恢复加密货币钱包访问权限的恢复短语）。如果攻击者获得这些密钥，他们就可以控制受害者的钱包并窃取其中存储的所有资金。

有迹象表明 SpyAgent 针对的是 iOS 用户

命令与控制 (C2) 基础设施存在重大安全漏洞，包括对站点根目录的无限制访问和受害者数据的泄露。该服务器还包含一个管理员面板，可以远程控制受感染的设备。值得注意的是，运行 iOS 15.8.2 且系统语言设置为简体中文（“zh”）的 Apple iPhone 的存在表明 iOS 用户也可能成为攻击目标。

最初，该恶意软件通过基本的 HTTP 请求与 C2 服务器通信，这种做法虽然有效，但也让安全工具更容易检测和阻止。然而，在战略转变中，该恶意软件现在使用 WebSocket 连接，从而能够与 C2 服务器进行更高效、实时、双向的通信，同时也让传统的基于 HTTP 的监控工具更难检测到。

移动设备仍然是网络攻击的主要目标

2024 年初，网络安全专家发现了一种名为 CraxsRAT 的新型 Android 远程访问木马 (RAT)，该木马自 2024 年 2 月起就通过钓鱼网站针对马来西亚银行用户发起攻击。值得注意的是，早在 2023 年 4 月， CraxsRAT活动就已在新加坡被发现。

CraxsRAT 是 Android 远程管理工具 (RAT) 类别中一个著名的恶意软件家族，提供远程设备控制和间谍软件功能等功能。这些功能包括键盘记录、执行手势以及从摄像头、屏幕和通话录制视频。下载包含 CraxsRAT 的应用程序的用户可能会面临凭证被盗和资金被未经授权提取的风险。