Logiciel malveillant SpyAgent pour mobile
Une nouvelle campagne de malwares mobiles, connue sous le nom de SpyAgent, a commencé à cibler les utilisateurs Android en Corée du Sud, posant une menace unique en analysant les images des appareils à la recherche de clés mnémoniques. Les chercheurs ont noté une expansion de sa portée, affectant désormais également les utilisateurs au Royaume-Uni.
Le malware est diffusé via de fausses applications Android apparemment légitimes, imitant des applications bancaires, gouvernementales, de streaming et des applications utilitaires. Depuis le début de l'année, plus de 280 applications frauduleuses ont été identifiées dans le cadre de cette campagne.
Table des matières
SpyAgent présente des fonctionnalités sophistiquées pour récolter des données
L'attaque commence par des SMS contenant des liens non sécurisés qui invitent les utilisateurs à télécharger des applications sous forme de fichiers APK à partir de sites Web trompeurs. Une fois installées, ces applications demandent des autorisations intrusives pour accéder aux données de l'appareil, notamment les contacts, les messages SMS, les photos et d'autres informations sensibles, qui sont ensuite partagées avec un serveur contrôlé par les attaquants.
L'une des fonctionnalités les plus inquiétantes du malware est son utilisation de la reconnaissance optique de caractères (OCR) pour capturer des clés mnémoniques, des phrases de récupération qui permettent aux utilisateurs de restaurer l'accès à leurs portefeuilles de cryptomonnaies. Si les attaquants ont accès à ces clés, ils peuvent prendre le contrôle des portefeuilles des victimes et récupérer tous les fonds qui y sont stockés.
Des signes indiquent que SpyAgent cible les utilisateurs iOS
L'infrastructure de commande et de contrôle (C2) présentait d'importantes failles de sécurité, notamment un accès illimité au répertoire racine du site et l'exposition des données des victimes. Le serveur contient également un panneau d'administration qui permet de contrôler à distance les appareils infectés. Notamment, la présence d'un iPhone Apple fonctionnant sous iOS 15.8.2 avec la langue système définie sur le chinois simplifié (« zh ») suggère que les utilisateurs d'iOS peuvent également être ciblés.
Au départ, le malware communiquait avec le serveur C2 via des requêtes HTTP de base, ce qui, bien qu'efficace, facilitait la détection et le blocage par les outils de sécurité. Cependant, dans un changement stratégique, le malware utilise désormais des connexions WebSocket, ce qui permet une communication bidirectionnelle plus efficace et en temps réel avec le serveur C2 tout en rendant la détection plus difficile pour les outils de surveillance traditionnels basés sur HTTP.
Les appareils mobiles restent une cible privilégiée des cyberattaques
Début 2024, des experts en cybersécurité ont découvert un nouveau cheval de Troie d'accès à distance Android (RAT) connu sous le nom de CraxsRAT, qui cible les utilisateurs de services bancaires en Malaisie depuis au moins février 2024 via des sites Web de phishing. Il convient également de noter que des campagnes CraxsRAT ont déjà été identifiées à Singapour dès avril 2023.
CraxsRAT est une famille de malwares bien connue de la catégorie des outils d'administration à distance Android (RAT), offrant des fonctionnalités telles que le contrôle à distance des appareils et des fonctions de logiciels espions. Il s'agit notamment de l'enregistrement des frappes au clavier, de l'exécution de gestes et de l'enregistrement de vidéos à partir de caméras, d'écrans et d'appels. Les utilisateurs qui téléchargent des applications contenant CraxsRAT peuvent être confrontés au vol d'informations d'identification et au retrait non autorisé de leurs fonds.
