SpyAgent モバイル マルウェア

SpyAgent として知られる新しいモバイル マルウェア キャンペーンが、韓国の Android ユーザーをターゲットにし始めており、デバイスの画像をスキャンしてニーモニック キーを探すという独特の脅威をもたらしています。研究者は、その影響範囲が拡大し、現在では英国のユーザーにも影響を及ぼしていることに気付きました。

このマルウェアは、銀行、政府、ストリーミング、ユーティリティ アプリケーションを模倣した、正規のアプリケーションに見せかけた偽の Android アプリケーションを通じて配布されます。今年に入ってから、このキャンペーンに関連して 280 を超える不正アプリケーションが確認されています。

SpyAgent はデータ収集のための高度な機能を実証

この攻撃は、安全でないリンクを含む SMS メッセージから始まり、偽の Web サイトからアプリケーションを APK ファイルとしてダウンロードするようユーザーに促します。インストールされると、これらのアプリケーションは、連絡先、SMS メッセージ、写真、その他の機密情報を含むデバイス上のデータにアクセスするための侵入的な権限を要求し、その後、そのデータは攻撃者が管理するサーバーと共有されます。

このマルウェアの最も懸念される機能の 1 つは、光学文字認識 (OCR) を使用してニーモニック キー (ユーザーが暗号通貨ウォレットへのアクセスを復元できるようにする回復フレーズ) を取得することです。攻撃者がこれらのキーにアクセスできれば、被害者のウォレットを乗っ取り、そこに保存されている資金をすべて回収できます。

SpyAgent が iOS ユーザーをターゲットにしている兆候

コマンドアンドコントロール（C2）インフラストラクチャには、サイトのルートディレクトリへの無制限のアクセスや被害者のデータの露出など、重大なセキュリティ上の欠陥がありました。サーバーには、感染したデバイスのリモート制御を可能にする管理者パネルも含まれています。特に、システム言語が簡体字中国語（「zh」）に設定されたiOS 15.8.2を実行しているApple iPhoneが存在することから、iOSユーザーも標的にされている可能性があることが示唆されます。

当初、マルウェアは基本的な HTTP リクエストを介して C2 サーバーと通信していましたが、これは効果的ではありましたが、セキュリティ ツールによる検出とブロックが容易でした。しかし、戦略的な転換により、マルウェアは現在 WebSocket 接続を使用するようになり、C2 サーバーとのより効率的でリアルタイムな双方向通信が可能になり、従来の HTTP ベースの監視ツールによる検出も困難になっています。

モバイルデバイスは依然としてサイバー攻撃の主要な標的である

2024年初頭、サイバーセキュリティの専門家は、CraxsRATと呼ばれる新しいAndroidリモートアクセス型トロイの木馬（RAT）を発見しました。これは、少なくとも2024年2月からフィッシングサイトを通じてマレーシアの銀行利用者をターゲットにしています。また、 CraxsRATキャンペーンは、2023年4月にはシンガポールで確認されていたことも注目に値します。

CraxsRAT は、Android リモート管理ツール (RAT) カテゴリ内のよく知られたマルウェア ファミリであり、リモート デバイス制御やスパイウェア機能などの機能を提供します。これには、キーロギング、ジェスチャの実行、カメラ、画面、通話からのビデオ録画が含まれます。CraxsRAT を含むアプリケーションをダウンロードしたユーザーは、認証情報の盗難や資金の不正引き出しに直面する可能性があります。