Usuários de dispositivos Android na Coreia do Sul se tornaram alvos de uma nova campanha de malware móvel que oferece um novo tipo de ameaça denominada Agente espião.
O malware “tem como alvo chaves mnemônicas ao escanear imagens em seu dispositivo que possam contê-las”, disse o pesquisador SangRyol Ryu do McAfee Labs em uma análise, acrescentando que o escopo da pegada de segmentação foi ampliado para incluir o Reino Unido.
A campanha faz uso de aplicativos Android falsos que são disfarçados como aplicativos bancários, governamentais, de streaming e utilitários aparentemente legítimos, em uma tentativa de enganar os usuários para instalá-los. Cerca de 280 aplicativos falsos foram detectados desde o início do ano.
Tudo começa com mensagens SMS contendo hyperlinks com armadilhas que incitam os usuários a baixar os aplicativos em questão na forma de arquivos APK hospedados em websites enganosos. Uma vez instalados, eles são projetados para solicitar permissões intrusivas para coletar dados dos dispositivos.
Isso inclui contatos, mensagens SMS, fotos e outras informações do dispositivo, que são então exfiltradas para um servidor externo sob o controle do agente da ameaça.
O recurso mais notável é sua capacidade de aproveitar o reconhecimento óptico de caracteres (OCR) para roubar chaves mnemônicas, que se referem a uma frase de recuperação ou semente que permite aos usuários recuperar o acesso às suas carteiras de criptomoedas.
O acesso não autorizado às chaves mnemônicas poderia, portanto, permitir que os cibercriminosos assumissem o controle das carteiras das vítimas e desviassem todos os fundos armazenados nelas.
O McAfee Labs disse que a infraestrutura de comando e controle (C2) sofreu graves falhas de segurança que não apenas permitiram a navegação até o diretório raiz do website sem autenticação, mas também deixaram expostos os dados coletados pelas vítimas.
O servidor também hospeda um painel de administrador que atua como um balcão único para comandar remotamente os dispositivos infectados. A presença de um dispositivo Apple iPhone executando iOS 15.8.2 com idioma do sistema definido como chinês simplificado (“zh”) no painel é um sinal de que ele também pode estar mirando usuários iOS.
“Originalmente, o malware se comunicava com seu servidor de comando e controle (C2) por meio de solicitações HTTP simples”, disse Ryu. “Embora esse método fosse eficaz, também period relativamente fácil para as ferramentas de segurança rastrearem e bloquearem.”
“Em uma mudança tática significativa, o malware agora adotou conexões WebSocket para suas comunicações. Esta atualização permite interações bidirecionais mais eficientes e em tempo actual com o servidor C2 e ajuda a evitar a detecção por ferramentas tradicionais de monitoramento de rede baseadas em HTTP.”
O desenvolvimento ocorre um pouco mais de um mês após o Group-IB expor outro trojan de acesso remoto (RAT) do Android, conhecido como CraxsRAT, que tem como alvo usuários bancários na Malásia desde pelo menos fevereiro de 2024 usando websites de phishing. Vale ressaltar que campanhas do CraxsRAT também foram descobertas anteriormente tendo como alvo Cingapura até abril de 2023.
“CraxsRAT é uma família de malware notória do Android Distant Administration Instruments (RAT) que oferece controle remoto de dispositivos e recursos de spy ware, incluindo keylogging, execução de gestos, gravação de câmeras, telas e chamadas”, disse a empresa de Cingapura.
“Vítimas que baixaram aplicativos contendo o malware CraxsRAT para Android sofrerão vazamento de credenciais e retirada de fundos ilegítima.”
Atualizar
O Google disse ao The Hacker Information que não encontrou nenhuma evidência do malware na Play Retailer. “Usuários do Android são automaticamente protegidos contra versões conhecidas desse malware pelo Google Play Defend, que está ativado por padrão em dispositivos Android com o Google Play Providers”, disse.
