Una nueva campaña de malware móvil que distribuye un tipo de amenaza llamado SpyAgent está dirigida a usuarios de dispositivos Android en Corea del Sur y en el Reino Unido, según el investigador de McAfee Labs, SangRyol Ryu.
La campaña utiliza aplicaciones Android falsas disfrazadas como aplicaciones bancarias, gubernamentales, de transmisión y de utilidad aparentemente legítimas en un intento de engañar a los usuarios para que las instalen. Hasta ahora, se han detectado 280 aplicaciones falsas.
El método de distribución comienza con mensajes de texto que contienen enlaces trampa que instan a los usuarios a descargar archivos APK de las aplicaciones en cuestión desde sitios engañosos. Una vez instaladas, las aplicaciones piden permisos intrusivos para recopilar datos de los dispositivos, incluyendo contactos, mensajes de texto, fotos y otra información del dispositivo, que luego es extraída a un servidor externo bajo el control del actor de amenazas.
El malware tiene la capacidad de aprovechar el reconocimiento óptico de caracteres (OCR) para robar claves mnemotécnicas, permitiendo el control de las billeteras de criptomonedas de las víctimas y sustraer todos los fondos almacenados en ellas.
McAfee Labs también señaló que la infraestructura de comando y control (C2) del malware sufrió graves fallos de seguridad, exponiendo los datos recopilados de las víctimas. Además, el servidor alberga un panel de administrador que actúa como tienda única para apoderarse de forma remota de los dispositivos infectados.
El servidor también mostró la presencia de un dispositivo Apple iPhone con iOS 15.8.2 y el idioma del sistema establecido en chino simplificado, lo que sugiere que el malware podría estar apuntando también a usuarios de iOS.
En un cambio táctico significativo, el malware ha adoptado conexiones WebSocket para sus comunicaciones, lo que permite interacciones más eficientes y en tiempo real con el servidor C2 y ayuda a evitar la detección por herramientas tradicionales de monitoreo basadas en HTTP.
Este desarrollo se produce poco después de que Group-IB expusiera otro troyano de acceso remoto (RAT) para Android llamado CraxsRAT que apunta a usuarios bancarios en Malasia. Este troyano también ha sido detectado previamente apuntando a Singapur en el pasado.
«CraxsRAT es una familia de malware notoria de herramientas de administración remota (RAT) para Android que ofrece control remoto de dispositivos y capacidades de spyware, incluyendo keylogging, realización de gestos, grabación de cámaras, pantallas y llamadas,» dijo la empresa singapurense.
Las víctimas que descargaron aplicaciones que contienen el malware Android CraxsRAT experimentarán la filtración de credenciales y la retirada ilegítima de sus fondos.
Vía The Hacker News
