VietNetwork.Vn

Người dùng thiết bị Android tại Hàn Quốc đã trở thành mục tiêu của một chiến dịch phần mềm độc hại di động mới phát tán một loại mối đe dọa mới có tên gọi là SpyAgent.

Nhà nghiên cứu SangRyol Ryu của McAfee Labs cho biết trong một phân tích rằng phần mềm độc hại "nhắm mục tiêu vào các khóa ghi nhớ bằng cách quét các hình ảnh trên thiết bị của bạn có thể chứa chúng", đồng thời cho biết thêm rằng phạm vi nhắm mục tiêu đã mở rộng để bao gồm Vương quốc Anh.


Chiến dịch này sử dụng các ứng dụng Android giả mạo được ngụy trang thành các ứng dụng ngân hàng, tiện ích chính phủ, phát trực tuyến và tiện ích hợp pháp để lừa người dùng cài đặt chúng. Có tới 280 ứng dụng giả đã được phát hiện kể từ đầu năm.

Tất cả bắt đầu bằng tin nhắn SMS có chứa liên kết bẫy booby thúc giục người dùng tải xuống các ứng dụng đang được đề cập dưới dạng tệp APK được lưu trữ trên các trang web lừa đảo. Sau khi cài đặt, chúng được thiết kế để yêu cầu quyền xâm nhập để thu thập dữ liệu từ các thiết bị.

Bao gồm danh bạ, tin nhắn SMS, ảnh và thông tin thiết bị khác, tất cả sau đó sẽ được chuyển đến máy chủ bên ngoài do kẻ tấn công kiểm soát.


Tính năng đáng chú ý nhất là khả năng tận dụng công nghệ nhận dạng ký tự quang học (OCR) để đánh cắp khóa ghi nhớ, tức là cụm từ khôi phục hoặc cụm từ gốc cho phép người dùng lấy lại quyền truy cập vào ví tiền điện tử của họ.

Do đó, việc truy cập trái phép vào khóa ghi nhớ có thể cho phép kẻ tấn công kiểm soát ví của nạn nhân và rút hết tiền được lưu trữ trong đó.

McAfee Labs cho biết cơ sở hạ tầng chỉ huy và kiểm soát (C2) đã gặp phải những lỗ hổng bảo mật nghiêm trọng không chỉ cho phép điều hướng đến thư mục gốc của trang web mà không cần xác thực mà còn để lộ dữ liệu thu thập được từ nạn nhân.

Máy chủ cũng lưu trữ một bảng điều khiển quản trị viên hoạt động như một cửa hàng một cửa để chỉ huy từ xa các thiết bị bị nhiễm. Sự hiện diện của một thiết bị Apple iPhone chạy iOS 15.8.2 với ngôn ngữ hệ thống được đặt thành tiếng Trung giản thể ("zh") trong bảng điều khiển là một dấu hiệu cho thấy nó cũng có thể nhắm mục tiêu vào người dùng iOS.


"Ban đầu, phần mềm độc hại giao tiếp với máy chủ chỉ huy và kiểm soát (C2) của nó thông qua các yêu cầu HTTP đơn giản", Ryu cho biết. "Mặc dù phương pháp này hiệu quả, nhưng các công cụ bảo mật cũng dễ theo dõi và chặn".

"Trong một sự thay đổi chiến thuật đáng kể, phần mềm độc hại hiện đã áp dụng kết nối WebSocket cho giao tiếp của nó. Bản nâng cấp này cho phép tương tác hai chiều hiệu quả hơn, theo thời gian thực với máy chủ C2 và giúp nó tránh bị phát hiện bởi các công cụ giám sát mạng dựa trên HTTP truyền thống."

Sự phát triển này diễn ra hơn một tháng sau khi Group-IB tiết lộ một trojan truy cập từ xa Android (RAT) khác được gọi là CraxsRAT nhắm mục tiêu vào người dùng ngân hàng tại Malaysia kể từ ít nhất tháng 2 năm 2024 bằng cách sử dụng các trang web lừa đảo. Điều đáng chú ý là các chiến dịch CraxsRAT trước đây cũng đã được phát hiện nhắm mục tiêu vào Singapore chậm nhất là vào tháng 4 năm 2023.

"CraxsRAT là một họ phần mềm độc hại khét tiếng thuộc Công cụ quản trị từ xa Android (RAT) có tính năng điều khiển thiết bị từ xa và khả năng gián điệp, bao gồm ghi lại thao tác phím, thực hiện cử chỉ, ghi lại camera, màn hình và cuộc gọi", công ty Singapore cho biết.

"Nạn nhân tải xuống các ứng dụng có chứa phần mềm độc hại CraxsRAT trên Android sẽ bị rò rỉ thông tin đăng nhập và bị rút tiền bất hợp pháp."