SpyAgent 行動惡意軟體

一種名為 SpyAgent 的新行動惡意軟體活動已開始針對韓國的 Android 用戶，透過掃描裝置影像以獲取助記鍵來構成獨特的威脅。研究人員注意到其影響範圍不斷擴大，現在也影響了英國的使用者。

該惡意軟體透過看似合法的虛假 Android 應用程式進行分發，模仿銀行、政府、串流媒體和實用程式應用程式。自今年年初以來，已發現 280 多起與此活動相關的詐欺申請。

SpyAgent 展示了收集資料的複雜功能

攻擊從包含不安全連結的簡訊開始，提示用戶從欺騙性網站將應用程式下載為 APK 檔案。安裝後，這些應用程式會請求侵入權限來存取裝置上的數據，包括聯絡人、簡訊、照片和其他敏感訊息，然後與攻擊者控制的伺服器共享這些資訊。

該惡意軟體最令人擔憂的功能之一是它使用光學字元辨識 (OCR) 來捕獲助記鍵——允許用戶恢復對其加密貨幣錢包的存取的恢復短語。如果攻擊者能夠存取這些金鑰，他們就可以控制受害者的錢包並收集其中儲存的所有資金。

跡象表明 SpyAgent 針對 iOS 用戶

命令與控制 (C2) 基礎設施存在重大安全缺陷，包括不受限制地存取網站根目錄以及暴露受害者資料。該伺服器還包含一個管理員面板，可以遠端控制受感染的設備。值得注意的是，運行 iOS 15.8.2 且系統語言設定為簡體中文（「zh」）的 Apple iPhone 的存在表明 iOS 用戶也可能成為目標。

最初，惡意軟體透過基本的 HTTP 請求與 C2 伺服器進行通信，雖然有效，但使安全工具更容易檢測和阻止。然而，在策略轉變中，該惡意軟體現在使用 WebSocket 連接，從而能夠與 C2 伺服器進行更高效、即時的雙向通信，同時也使傳統的基於 HTTP 的監控工具更難以檢測。

行動裝置仍然是網路攻擊的重要目標

2024 年初，網路安全專家發現了一種名為 CraxsRAT 的新型 Android 遠端存取木馬 (RAT)，該木馬至少自 2024 年 2 月起就透過網路釣魚網站瞄準馬來西亞的銀行用戶。另外值得注意的是， CraxsRAT活動早在 2023 年 4 月就已在新加坡被發現。

CraxsRAT 是 Android 遠端管理工具 (RAT) 類別中的一個著名惡意軟體家族，提供遠端裝置控制和間諜軟體功能等功能。其中包括鍵盤記錄、執行手勢以及錄製來自相機、螢幕和通話的影片。下載包含 CraxsRAT 的應用程式的用戶可能會面臨憑證盜竊和未經授權的資金提取。