SpyAgent Mobile-Malware
Eine neue mobile Malware-Kampagne namens SpyAgent hat begonnen, Android-Nutzer in Südkorea ins Visier zu nehmen. Sie stellt eine einzigartige Bedrohung dar, indem sie Gerätebilder nach mnemonischen Schlüsseln durchsucht. Forscher haben eine Ausweitung ihrer Reichweite festgestellt, die nun auch Nutzer in Großbritannien betrifft.
Die Malware wird über gefälschte Android-Anwendungen verbreitet, die legitim erscheinen und Bank-, Regierungs-, Streaming- und Dienstprogrammanwendungen imitieren. Seit Jahresbeginn wurden im Zusammenhang mit dieser Kampagne über 280 betrügerische Anwendungen identifiziert.
Inhaltsverzeichnis
SpyAgent demonstriert ausgefeilte Funktionen zum Sammeln von Daten
Der Angriff beginnt mit SMS-Nachrichten, die unsichere Links enthalten, die Benutzer dazu auffordern, Anwendungen als APK-Dateien von betrügerischen Websites herunterzuladen. Nach der Installation fordern diese Anwendungen aufdringliche Berechtigungen für den Zugriff auf Daten auf dem Gerät an, darunter Kontakte, SMS-Nachrichten, Fotos und andere vertrauliche Informationen, die dann an einen von den Angreifern kontrollierten Server weitergegeben werden.
Eine der besorgniserregendsten Funktionen der Malware ist die Verwendung optischer Zeichenerkennung (OCR) zum Erfassen von mnemonischen Schlüsseln – Wiederherstellungsphrasen, mit denen Benutzer den Zugriff auf ihre Kryptowährungs-Wallets wiederherstellen können. Wenn die Angreifer Zugriff auf diese Schlüssel haben, können sie die Kontrolle über die Wallets der Opfer übernehmen und alle darin gespeicherten Gelder abgreifen.
Anzeichen deuten darauf hin, dass SpyAgent iOS-Benutzer ins Visier nimmt
Die Command-and-Control-Infrastruktur (C2) wies erhebliche Sicherheitsmängel auf, darunter uneingeschränkten Zugriff auf das Stammverzeichnis der Site und die Offenlegung von Opferdaten. Der Server enthält außerdem ein Administrator-Panel, das die Fernsteuerung infizierter Geräte ermöglicht. Insbesondere das Vorhandensein eines Apple iPhone mit iOS 15.8.2 und der auf vereinfachtes Chinesisch („zh“) eingestellten Systemsprache deutet darauf hin, dass auch iOS-Benutzer ins Visier genommen werden könnten.
Ursprünglich kommunizierte die Malware mit dem C2-Server über einfache HTTP-Anfragen. Dies war zwar effektiv, erleichterte aber die Erkennung und Blockierung durch Sicherheitstools. In einem strategischen Wechsel nutzt die Malware nun jedoch WebSocket-Verbindungen. Dies ermöglicht eine effizientere bidirektionale Echtzeitkommunikation mit dem C2-Server und erschwert gleichzeitig die Erkennung durch herkömmliche HTTP-basierte Überwachungstools.
Mobilgeräte bleiben ein beliebtes Ziel für Cyberangriffe
Anfang 2024 entdeckten Cybersicherheitsexperten einen neuen Android Remote Access Trojan (RAT) namens CraxsRAT, der seit mindestens Februar 2024 über Phishing-Websites auf Bankbenutzer in Malaysia abzielt. Bemerkenswert ist auch, dass CraxsRAT -Kampagnen bereits im April 2023 in Singapur identifiziert wurden.
CraxsRAT ist eine bekannte Malware-Familie in der Kategorie Android Remote Administration Tools (RAT), die Funktionen wie die Fernsteuerung von Geräten und Spyware-Funktionen bietet. Dazu gehören Keylogging, das Ausführen von Gesten und das Aufzeichnen von Videos von Kameras, Bildschirmen und Anrufen. Benutzer, die Anwendungen herunterladen, die CraxsRAT enthalten, können Opfer von Diebstahl von Anmeldeinformationen und unbefugter Auszahlung ihrer Gelder werden.
