Phần mềm độc hại Android SpyAgent mới sử dụng OCR để đánh cắp khóa khôi phục ví tiền điện tử
Phần mềm độc hại Android SpyAgent mới sử dụng OCR để đánh cắp khóa khôi phục ví tiền điện tử
Người dùng thiết bị Android tại Hàn Quốc đã trở thành mục tiêu của một chiến dịch phần mềm độc hại di động mới mang đến một loại mối đe dọa mới có tên là SpyAgent.
Phần mềm độc hại "nhắm mục tiêu vào các khóa ghi nhớ bằng cách quét hình ảnh trên thiết bị của bạn có thể chứa chúng", nhà nghiên cứu SangRyol Ryu của Chuyên gia bảo mậtcho biết trong một phân tích, đồng thời nói thêm rằng phạm vi nhắm mục tiêu đã mở rộng bao gồm cả Vương quốc Anh.
Chiến dịch này sử dụng các ứng dụng Android giả mạo được ngụy trang thành các ứng dụng ngân hàng, cơ sở chính phủ, phát trực tuyến và tiện ích hợp pháp để lừa người dùng cài đặt chúng. Đã có tới 280 ứng dụng giả mạo được phát hiện kể từ đầu năm.
Mọi chuyện bắt đầu bằng tin nhắn SMS có chứa liên kết bẫy thúc giục người dùng tải xuống các ứng dụng đang bị nghi ngờ dưới dạng tệp APK được lưu trữ trên các trang web lừa đảo. Sau khi cài đặt, chúng được thiết kế để yêu cầu quyền xâm nhập để thu thập dữ liệu từ các thiết bị.
Điều này bao gồm danh bạ, tin nhắn SMS, ảnh và thông tin thiết bị khác, tất cả sau đó được đưa ra máy chủ bên ngoài do tác nhân đe dọa kiểm soát.
Tính năng đáng chú ý nhất là khả năng tận dụng nhận dạng ký tự quang học (OCR) để đánh cắp khóa ghi nhớ, tức là cụm từ khôi phục hoặc cụm từ hạt giống cho phép người dùng lấy lại quyền truy cập vào ví tiền điện tử của họ.
Do đó, việc truy cập trái phép vào khóa ghi nhớ có thể cho phép kẻ tấn công kiểm soát ví của nạn nhân và rút hết tiền được lưu trữ trong đó.
Chuyên gia bảo mật cho biết cơ sở hạ tầng chỉ huy và kiểm soát (C2) đã gặp phải những lỗ hổng bảo mật nghiêm trọng không chỉ cho phép điều hướng đến thư mục gốc của trang web mà không cần xác thực mà còn để lộ dữ liệu thu thập được từ nạn nhân.
Máy chủ cũng lưu trữ bảng điều khiển quản trị viên đóng vai trò là cửa hàng một cửa để chỉ huy từ xa các thiết bị bị nhiễm. Sự hiện diện của thiết bị Apple iPhone chạy iOS 15.8.2 với ngôn ngữ hệ thống được đặt thành tiếng Trung giản thể ("zh") trong bảng điều khiển là dấu hiệu cho thấy nó cũng có thể nhắm mục tiêu vào người dùng iOS.
"Ban đầu, phần mềm độc hại này giao tiếp với máy chủ chỉ huy và kiểm soát (C2) của nó thông qua các yêu cầu HTTP đơn giản", Ryu cho biết. "Mặc dù phương pháp này hiệu quả, nhưng các công cụ bảo mật cũng dễ theo dõi và chặn nó".
"Trong một sự thay đổi chiến thuật đáng kể, phần mềm độc hại hiện đã áp dụng các kết nối WebSocket để giao tiếp. Bản nâng cấp này cho phép tương tác hai chiều hiệu quả hơn, theo thời gian thực với máy chủ C2 và giúp nó tránh bị các công cụ giám sát mạng dựa trên HTTP truyền thống phát hiện".
Sự phát triển này diễn ra hơn một tháng sau khi Group-IB phát hiện ra một trojan truy cập từ xa Android (RAT) khác được gọi là CraxsRAT nhắm mục tiêu vào người dùng ngân hàng tại Malaysia kể từ ít nhất là tháng 2 năm 2024 bằng cách sử dụng các trang web lừa đảo. Điều đáng lưu ý là các chiến dịch CraxsRAT trước đây cũng đã được phát hiện nhắm mục tiêu vào Singapore chậm nhất là vào tháng 4 năm 2023.
"CraxsRAT là một họ phần mềm độc hại khét tiếng của Android Remote Administration Tools (RAT) có tính năng điều khiển thiết bị từ xa và khả năng phần mềm gián điệp, bao gồm ghi lại phím, thực hiện cử chỉ, ghi lại camera, màn hình và cuộc gọi", công ty Singapore cho biết.
"Các nạn nhân tải xuống các ứng dụng có chứa phần mềm độc hại CraxsRAT trên Android sẽ bị rò rỉ thông tin đăng nhập và bị rút tiền bất hợp pháp".
Hương – Theo TheHackerNews
Tin liên quan:
Hiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...
Chi tiếtHiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...
Chi tiếtHiện tại, các bản tải xuống và cập nhật của các sản phẩm Kaspersky không được tìm thấy trên Google Play. Kaspersky đang điều tra các tình huống đằng...
Chi tiết