新的 Android SpyAgent 恶意软件使用 OCR 窃取加密钱包恢复密钥

阅读量40534

发布时间 : 2024-09-10 14:21:04

x
译文声明

本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/09/new-android-spyagent-malware-uses-ocr.html

译文仅供参考,具体内容表达以及含义原文为准。

韩国的 Android 设备用户已成为一种新的移动恶意软件活动的目标,该活动提供了一种称为 SpyAgent 的新型威胁。

McAfee Labs 研究员 SangRyol Ryu 在一项分析中表示,该恶意软件“通过扫描设备上可能包含助记键的图像来瞄准助记键”,并补充说目标范围已扩大到包括英国。

该活动利用伪装成看似合法的银行、政府设施、流媒体和实用程序的虚假 Android 应用程序,试图诱骗用户安装它们。自今年年初以来,已检测到多达 280 个虚假应用程序。

这一切都始于带有诱杀链接的 SMS 消息,这些链接敦促用户以托管在欺骗性网站上的 APK 文件的形式下载有问题的应用程序。安装后,它们旨在请求侵入性权限以从设备收集数据。

这包括联系人、短信、照片和其他设备信息,所有这些都被泄露到威胁行为者控制下的外部服务器。

最显着的特点是它能够利用光学字符识别 (OCR) 来窃取助记词,助记词是指允许用户重新获得对其加密货币钱包的访问权限的恢复或助记词。

因此,未经授权访问助记词密钥可以让威胁行为者控制受害者的钱包并窃取其中存储的所有资金。

McAfee Labs 表示,命令和控制 (C2) 基础设施存在严重的安全漏洞,不仅允许在未经身份验证的情况下导航到网站的根目录,而且还暴露了从受害者那里收集的数据。

该服务器还托管一个管理员面板,该面板充当远程征用受感染设备的一站式商店。如果 Apple iPhone 设备运行 iOS 15.8.2,且面板内系统语言设置为简体中文 (“zh”),则表明该设备也可能以 iOS 用户为目标。

“最初,该恶意软件通过简单的 HTTP 请求与其命令和控制 (C2) 服务器进行通信,”Ryu 说。“虽然这种方法很有效,但安全工具也相对容易跟踪和阻止。”

“在一个重大的战术转变中,该恶意软件现在已经采用 WebSocket 连接进行通信。此升级允许与 C2 服务器进行更高效、实时的双向交互,并帮助它避免被基于 HTTP 的传统网络监控工具检测到。

至少自 2024 年 2 月以来,Group-IB 曝光了另一个称为 CraxsRAT 的 Android 远程访问木马 (RAT),该木马至少自 2024 年 2 月以来使用网络钓鱼网站针对马来西亚的银行用户。值得指出的是,此前也发现 CraxsRAT 活动不迟于 2023 年 4 月针对新加坡。

“CraxsRAT 是一个臭名昭著的 Android 远程管理工具 (RAT) 恶意软件系列,具有远程设备控制和间谍软件功能,包括键盘记录、执行手势、记录摄像头、屏幕和通话,”这家新加坡公司表示。

“下载包含 CraxsRAT 安卓恶意软件的应用程序的受害者将遇到凭据泄露和非法提款。”

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66