Android-Nutzer in Südkorea sind ins Visier einer neuen mobilen Malware-Kampagne geraten, die eine neue Bedrohung namens SpyAgent verbreitet.
Die Malware „nimmt mnemonische Schlüssel ins Visier, indem sie nach Bildern auf Ihrem Gerät sucht, die diese enthalten könnten“, sagte SangRyol Ryu, Forscher bei McAfee Labs, in einer Analyse und fügte hinzu, dass sich der Zielbereich auf Großbritannien ausgeweitet hat.
Die Kampagne bedient sich gefälschter Android-Apps, die als scheinbar legitime Apps für Banken, Behörden, Streaming und Dienstprogramme getarnt sind, um Benutzer zur Installation zu verleiten. Seit Anfang des Jahres wurden bereits 280 gefälschte Apps entdeckt.
Alles beginnt mit SMS-Nachrichten, die mit Sprengfallen versehene Links enthalten, die Benutzer dazu auffordern, die fraglichen Apps in Form von APK-Dateien herunterzuladen, die auf betrügerischen Websites gehostet werden. Einmal installiert, fordern sie aufdringliche Berechtigungen an, um Daten von den Geräten zu sammeln.
Dazu gehören Kontakte, SMS-Nachrichten, Fotos und andere Geräteinformationen, die dann an einen externen Server unter der Kontrolle des Angreifers weitergeleitet werden.
Das bemerkenswerteste Merkmal ist die Fähigkeit, mithilfe optischer Zeichenerkennung (OCR) mnemonische Schlüssel zu stehlen. Dabei handelt es sich um Wiederherstellungs- oder Seed-Phrasen, mit denen Benutzer wieder Zugriff auf ihre Kryptowährungs-Wallets erhalten können.
Unbefugter Zugriff auf die mnemonischen Schlüssel könnte es Angreifern daher ermöglichen, die Kontrolle über die Wallets der Opfer zu übernehmen und alle darin gespeicherten Gelder abzuzweigen.
McAfee Labs erklärte, dass die Command-and-Control (C2)-Infrastruktur unter schwerwiegenden Sicherheitslücken litt, die es nicht nur ermöglichten, ohne Authentifizierung zum Stammverzeichnis der Website zu navigieren, sondern auch die von den Opfern gesammelten Daten offenlegten.
Der Server hostet auch ein Administratorpanel, das als zentrale Anlaufstelle für die Fernsteuerung der infizierten Geräte dient. Das Vorhandensein eines Apple iPhone-Geräts mit iOS 15.8.2, dessen Systemsprache auf vereinfachtes Chinesisch („zh“) eingestellt ist, im Panel ist ein Zeichen dafür, dass es möglicherweise auch auf iOS-Benutzer abzielt.
„Ursprünglich kommunizierte die Malware über einfache HTTP-Anfragen mit ihrem Command-and-Control (C2)-Server“, so Ryu. „Diese Methode war zwar effektiv, aber für Sicherheitstools auch relativ einfach zu verfolgen und zu blockieren.“
„In einer bedeutenden taktischen Veränderung verwendet die Malware nun WebSocket-Verbindungen für ihre Kommunikation. Dieses Upgrade ermöglicht effizientere Zwei-Wege-Interaktionen in Echtzeit mit dem C2-Server und hilft dabei, die Erkennung durch herkömmliche HTTP-basierte Netzwerküberwachungstools zu vermeiden.“
Diese Entwicklung kommt etwas mehr als einen Monat, nachdem Group-IB einen anderen Android-Fernzugriffstrojaner (RAT) namens CraxsRAT aufgedeckt hat, der seit mindestens Februar 2024 Banknutzer in Malaysia über Phishing-Websites angreift. Es ist erwähnenswert, dass CraxsRAT-Kampagnen bereits zuvor auch auf Singapur abzielten, spätestens im April 2023.
„CraxsRAT ist eine berüchtigte Malware-Familie von Android Remote Administration Tools (RAT), die über Funktionen zur Fernsteuerung von Geräten und Spyware verfügt, darunter Keylogging, Ausführen von Gesten, Aufzeichnen von Kameras, Bildschirmen und Anrufen“, so das singapurische Unternehmen.