21 Aralık 2024

Yeni SpyAgent Kötü Amaçlı Yazılım, Android Kullanıcılarını Kripto Cüzdan Kurtarma Anahtarlarını OCR Teknolojisi Kullanarak Çalmayı Hedefliyor

SpyAgent kötü amaçlı yazılımı, Android kullanıcılarını hedef alarak kripto cüzdan kurtarma anahtarlarını OCR teknolojisi aracılığıyla çalıyor. Sahte uygulamalarla yayılıyor ve iletişim için WebSocket kullanma yeteneğini geliştirdi.

Yeni bir mobil kötü amaçlı yazılım kampanyası, Güney Kore'deki Android cihaz kullanıcılarını hedef alarak SpyAgent adı verilen sofistike bir tehdidi tanıttı. Bu kötü amaçlı yazılım, kripto para cüzdanlarını kurtarmak için gerekli olan mnemonic anahtarları taramak ve çalmak için Optik Karakter Tanıma (OCR) gibi gelişmiş teknikler kullanıyor.

McAfee Labs araştırmacısı SangRyol Ryu'ya göre, kötü amaçlı yazılımın hedef kitlesi Güney Kore'nin ötesine geçerek Birleşik Krallık'taki kullanıcıları da kapsıyor. Kampanya, kullanıcıları kandırarak sahte Android uygulamalarını, gerçek banka, hükümet, akış ve hizmet uygulamaları olarak maskelemekte ve indirmeye teşvik etmektedir. Yılın başından bu yana yaklaşık 280 sahte uygulama tespit edilmiştir.

Saldırı genellikle, kullanıcıları kötü amaçlı bağlantılar içeren SMS mesajları ile uygulamaları aldatıcı web sitelerinden APK dosyası olarak indirmeye yönlendiren mesajlarla başlar. Uygulamalar yüklendikten sonra, cihazdaki hassas verilere erişim için geniş izinler talep eder; bu bilgiler, tehdit aktörleri tarafından kontrol edilen bir sunucuya sızdırılır.

SpyAgent'ın en endişe verici özelliklerinden biri, mnemonic anahtarları yakalamak için OCR teknolojisini kullanabilmesidir. Bu anahtarlar, kullanıcıların kripto para cüzdanlarına yeniden erişim sağlamalarına olanak tanıyan kurtarma ifadeleridir. Eğer tehdit aktörleri bu anahtarlara yetkisiz erişim sağlarsa, mağdurların cüzdanlarını kontrol altına alabilir ve fonlarını boşaltabilirler.

McAfee Labs, kötü amaçlı yazılımın kullandığı komut ve kontrol (C2) altyapısında önemli güvenlik açıkları tespit etmiştir. Bu açıklar, yalnızca sitenin kök dizinine yetkisiz erişim sağlamakla kalmaz, aynı zamanda toplanan mağdur verilerini de açığa çıkarır. Sunucu, enfekte cihazların uzaktan kontrolünü sağlayan bir yönetici paneli içermektedir. İlginç bir şekilde, dili Basitleştirilmiş Çince olarak ayarlanmış bir iOS 15.8.2 çalıştıran bir Apple iPhone'un panelde bulunduğu tespit edilmiştir; bu da iOS kullanıcılarının potansiyel hedef alındığını göstermektedir.

Başlangıçta, kötü amaçlı yazılım, C2 sunucusuyla temel HTTP istekleri aracılığıyla iletişim kuruyordu; bu yöntem etkiliydi ancak güvenlik araçları tarafından kolayca tespit edilebiliyordu. Ancak, stratejik bir değişiklikle, kötü amaçlı yazılım iletişim için WebSocket bağlantılarına geçiş yaptı. Bu güncelleme, C2 sunucusuyla daha verimli, gerçek zamanlı etkileşimler sağlamakta ve geleneksel HTTP tabanlı izleme araçlarından kaçınmaya yardımcı olmaktadır.

Bu gelişme, Group-IB tarafından yapılan bir raporu takip ediyor; bu raporda, en az Şubat 2024'ten beri Malezya'daki banka kullanıcılarını hedef alan CraxsRAT adlı başka bir Android uzaktan erişim trojanı (RAT) ortaya çıkarılmıştır. CraxsRAT ayrıca, Nisan 2023 itibarıyla Singapur'daki kullanıcıları hedef alan kampanyalarla da bağlantılıdır.

CraxsRAT, uzaktan cihaz kontrolü ve anahtar kaydı, hareket performansı ve kamera, ekran ve arama kaydı gibi casus yazılım yetenekleri ile tanınmaktadır. CraxsRAT içeren uygulamaları yanlışlıkla indiren mağdurlar, kimlik bilgisi sızıntısı ve yetkisiz fon çekimi riski ile karşı karşıya kalmaktadır.