Пользователи Android устройств в Южной Корее стали мишенью новой мобильной кампании по распространению вредоносного ПО, которая распространяет новую угрозу под названием SpyAgent.
Как отмечает исследователь McAfee Labs СангРиол Рю, вредоносное ПО нацелено на мнемонические ключи, сканируя изображения на устройствах, которые могут их содержать. Более того, география атак расширилась до Великобритании.
Кампания использует поддельные Android-приложения, маскирующиеся под легитимные банковские, правительственные, потоковые и утилитарные приложения, чтобы обманом заставить пользователей установить их. С начала года было выявлено около 280 таких фальшивых приложений.
Все начинается с SMS-сообщений с вредоносными ссылками, которые побуждают пользователей загружать приложения в виде APK-файлов с мошеннических сайтов. После установки приложения запрашивают доступ к конфиденциальным данным на устройстве.
Собранные данные включают контакты, сообщения, фотографии и другую информацию, которая затем отправляется на внешний сервер под управлением злоумышленников. Одной из ключевых функций вредоносного ПО является использование технологии оптического распознавания символов (OCR) для кражи мнемонических ключей — фраз, позволяющих восстанавливать доступ к криптовалютным кошелькам.
Незаконный доступ к таким ключам может позволить злоумышленникам завладеть кошельками жертв и вывести средства. По данным McAfee Labs, инфраструктура командных серверов (C2) страдает от серьезных уязвимостей безопасности, которые позволяют получить доступ к корневому каталогу сайта без аутентификации, а также оставляют собранные данные пользователей незащищенными.
Сервер также содержит административную панель, которая дает возможность удаленного управления заражёнными устройствами. Наличие в панели устройства Apple iPhone с установленной версией iOS 15.8.2 и упрощенным китайским языком интерфейса (zh) может свидетельствовать о том, что также затрагиваются и пользователи iOS.
"Изначально вредоносное ПО взаимодействовало с сервером команд через простые HTTP-запросы, хотя этот метод был эффективен, он также позволял системам безопасности легко отслеживать и блокировать угрозу. Однако недавно вредонос сменил тактику и перешел на использование WebSocket для связи с C2-сервером, что позволяет более эффективно осуществлять двустороннюю связь в реальном времени и избегать обнаружения традиционными инструментами сетевого мониторинга, основанными на HTTP, - прокомментировал исследователь исследователь McAfee Labs."
Этот инцидент произошел чуть больше месяца спустя после того, как другая компания Group-IB раскрыла еще один удаленный доступ к Android через троян CraxsRAT, нацеленный на банковских пользователей в Малайзии с февраля 2024 года. Также ранее были обнаружены атаки с использованием CraxsRAT в Сингапуре, начиная с апреля 2023 года.
"CraxsRAT представляет собой известное семейство вредоносного ПО для удалённого управления Android-устройствами с возможностями шпионского ПО, включая перехват клавиш, запись с камер, экрана и звонков," сообщили в компании из Сингапура. Жертвы, установившие приложения с этим вредоносом, могут столкнуться с утечкой учетных данных и незаконным выводом средств.