Usuários de dispositivos Android na Coréia do Sul foram identificados como alvo de uma nova campanha de malware móvel, que entrega um novo tipo de ameaça apelidada de SpyAgent.
O malware "visa chaves mnemônicas ao escanear por imagens em seu dispositivo que possam contê-las", disse o pesquisador SangRyol Ryu, da McAfee Labs, acrescentando que a abrangência do alvo ampliou-se para incluir o Reino Unido.
A campanha utiliza aplicativos Android falsos disfarçados de aplicativos de bancos, órgãos governamentais, streaming e utilitários aparentemente legítimos, numa tentativa de enganar os usuários a instalá-los.
Até 280 aplicativos falsos foram detectados desde o início do ano.
Tudo começa com mensagens SMS contendo links armadilhados que instigam os usuários a baixar os aplicativos em questão na forma de arquivos APK hospedados em sites enganosos.
Uma vez instalados, eles são projetados para solicitar permissões intrusivas para coletar dados dos dispositivos.
Isso inclui contatos, mensagens SMS, fotos e outras informações do dispositivo, tudo isso é então exfiltrado para um servidor externo sob o controle do ator da ameaça.
O recurso mais notável é sua capacidade de utilizar o reconhecimento óptico de caracteres (OCR) para roubar chaves mnemônicas, que se referem a uma frase de recuperação ou seed que permite aos usuários recuperar o acesso às suas carteiras de criptomoeda.
O acesso não autorizado às chaves mnemônicas poderia, portanto, permitir que os atores da ameaça assumissem o controle das carteiras das vítimas e drenassem todos os fundos armazenados nelas.
A McAfee Labs disse que a infraestrutura de comando e controle (C2) sofreu de sérias lacunas de segurança que não só permitiram navegar no diretório raiz do site sem autenticação, mas também deixaram expostos os dados coletados das vítimas.
O servidor também hospeda um painel de administrador que atua como um ponto central para comandar remotamente os dispositivos infectados.
A presença de um dispositivo Apple iPhone rodando iOS 15.8.2 com idioma do sistema definido para Chinês Simplificado ("zh") no painel é um sinal de que ele também pode estar visando usuários iOS.
"Originalmente, o malware se comunicava com seu servidor de comando e controle (C2) via solicitações HTTP simples", disse Ryu.
"Embora esse método fosse eficaz, também era relativamente fácil para as ferramentas de segurança rastrear e bloquear." Numa mudança tática significativa, o malware agora adotou conexões WebSocket para suas comunicações.
Este upgrade permite interações mais eficientes, em tempo real, bidirecionais com o servidor C2 e ajuda a evitar a detecção por ferramentas tradicionais de monitoramento de rede baseadas em HTTP.
O desenvolvimento ocorre pouco mais de um mês depois da Group-IB expor outro trojan de acesso remoto Android (RAT) chamado CraxsRAT visando usuários do setor bancário na Malásia desde pelo menos fevereiro de 2024 usando sites de phishing.
Vale ressaltar que as campanhas de CraxsRAT também foram encontradas anteriormente visando Cingapura não antes de abril de 2023.
"CraxsRAT é uma família notória de malware de Ferramentas de Administração Remota Android (RAT) que possui capacidades de controle remoto de dispositivo e spyware, incluindo keylogging, execução de gestos, gravação de câmeras, telas e chamadas", disse a empresa de Cingapura.
Vítimas que baixaram os aplicativos contendo o malware CraxsRAT Android experimentarão vazamento de credenciais e a retirada ilegítima de seus fundos.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...