Gebruikers van Android-apparaten in Zuid-Korea zijn het doelwit geworden van een nieuwe mobiele malwarecampagne die een nieuw type bedreiging oplevert, genaamd Spionageagent.
De malware “richt zich op mnemonische sleutels door te scannen naar afbeeldingen op uw apparaat die deze sleutels kunnen bevatten”, aldus SangRyol Ryu, onderzoeker bij McAfee Labs, in een analyse. Hij voegde eraan toe dat de targeting-footprint in omvang is uitgebreid en nu ook het Verenigd Koninkrijk omvat.
De campagne maakt gebruik van valse Android-apps die vermomd zijn als ogenschijnlijk legitieme bank-, overheids-, streaming- en hulpprogramma-apps in een poging gebruikers te misleiden om ze te installeren. Sinds het begin van het jaar zijn er maar liefst 280 valse applicaties gedetecteerd.
Het begint allemaal met sms-berichten met boobytrap-links die gebruikers aansporen de betreffende apps te downloaden in de vorm van APK-bestanden die op misleidende sites worden gehost. Na installatie zijn ze ontworpen om opdringerige toestemmingen te vragen om gegevens van de apparaten te verzamelen.
Het gaat hierbij om contacten, sms-berichten, foto’s en andere apparaatgegevens. Deze worden vervolgens allemaal naar een externe server gestuurd die onder controle staat van de kwaadwillende partij.
De meest opvallende eigenschap is de mogelijkheid om optische tekenherkenning (OCR) te gebruiken om mnemonische sleutels te stelen. Deze sleutels verwijzen naar een herstelzin of seed-zin waarmee gebruikers weer toegang krijgen tot hun cryptocurrency-wallets.
Ongeautoriseerde toegang tot de mnemonische sleutels zou cybercriminelen in staat kunnen stellen de controle over de portemonnees van slachtoffers over te nemen en alle daarin opgeslagen fondsen te stelen.
Volgens McAfee Labs kampte de command-and-control (C2)-infrastructuur met ernstige beveiligingslekken, waardoor niet alleen zonder authenticatie naar de hoofdmap van de site kon worden genavigeerd, maar ook de verzamelde gegevens van slachtoffers onbeveiligd waren.
De server host ook een beheerderspaneel dat fungeert als een one-stop-shop om de geïnfecteerde apparaten op afstand te vorderen. De aanwezigheid van een Apple iPhone-apparaat met iOS 15.8.2 met de systeemtaal ingesteld op Vereenvoudigd Chinees (“zh”) in het paneel is een teken dat het mogelijk ook iOS-gebruikers target.
“Oorspronkelijk communiceerde de malware met zijn command-and-control (C2) server via simpele HTTP-verzoeken,” zei Ryu. “Hoewel deze methode effectief was, was het ook relatief eenvoudig voor beveiligingstools om te volgen en te blokkeren.”
“In een belangrijke tactische verschuiving heeft de malware nu WebSocket-verbindingen aangenomen voor zijn communicatie. Deze upgrade zorgt voor efficiëntere, realtime, tweerichtingsinteracties met de C2-server en helpt detectie door traditionele HTTP-gebaseerde netwerkbewakingstools te voorkomen.”
De ontwikkeling komt iets meer dan een maand nadat Group-IB een andere Android remote access trojan (RAT) onthulde, genaamd CraxsRAT, die zich sinds ten minste februari 2024 richt op bankgebruikers in Maleisië via phishingwebsites. Het is de moeite waard om te vermelden dat CraxsRAT-campagnes eerder ook zijn gevonden die zich uiterlijk in april 2023 op Singapore richtten.
“CraxsRAT is een beruchte malwarefamilie van Android Remote Administration Tools (RAT) die functies voor apparaatbeheer op afstand en spyware biedt, waaronder keylogging, het uitvoeren van gebaren en het opnemen van camera’s, schermen en gesprekken”, aldus het Singaporese bedrijf.
“Slachtoffers die apps met de CraxsRAT Android-malware downloaden, krijgen te maken met een inloggegevenslek en onrechtmatige opnames van hun geld.”