Programa malicioso para dispositivos móviles SpyAgent
Una nueva campaña de malware para dispositivos móviles, conocida como SpyAgent, ha comenzado a atacar a los usuarios de Android en Corea del Sur y plantea una amenaza única al escanear imágenes de dispositivos en busca de claves mnemotécnicas. Los investigadores han notado una expansión de su alcance, que ahora también afecta a los usuarios del Reino Unido.
El malware se distribuye a través de aplicaciones Android falsas que parecen legítimas y que imitan aplicaciones bancarias, gubernamentales, de streaming y de servicios públicos. Desde principios de año, se han identificado más de 280 aplicaciones fraudulentas en relación con esta campaña.
Tabla de contenido
SpyAgent demuestra funciones sofisticadas para recopilar datos
El ataque comienza con mensajes SMS que contienen enlaces no seguros que incitan a los usuarios a descargar aplicaciones como archivos APK desde sitios web engañosos. Una vez instaladas, estas aplicaciones solicitan permisos intrusivos para acceder a datos del dispositivo, incluidos contactos, mensajes SMS, fotos y otra información confidencial, que luego se comparte con un servidor controlado por los atacantes.
Una de las capacidades más preocupantes del malware es el uso del reconocimiento óptico de caracteres (OCR) para capturar claves mnemotécnicas (frases de recuperación que permiten a los usuarios recuperar el acceso a sus billeteras de criptomonedas). Si los atacantes tienen acceso a estas claves, pueden tomar el control de las billeteras de las víctimas y recolectar todos los fondos almacenados en ellas.
Hay indicios de que SpyAgent está atacando a los usuarios de iOS
La infraestructura de Comando y Control (C2) tenía fallas de seguridad importantes, incluido el acceso sin restricciones al directorio raíz del sitio y la exposición de los datos de las víctimas. El servidor también contiene un panel de administrador que permite el control remoto de los dispositivos infectados. En particular, la presencia de un iPhone de Apple con iOS 15.8.2 y el idioma del sistema configurado en chino simplificado ('zh') sugiere que los usuarios de iOS también pueden ser el objetivo.
Inicialmente, el malware se comunicaba con el servidor C2 a través de solicitudes HTTP básicas, que, si bien eran efectivas, facilitaban su detección y bloqueo por parte de las herramientas de seguridad. Sin embargo, en un cambio estratégico, el malware ahora utiliza conexiones WebSocket, lo que permite una comunicación bidireccional más eficiente y en tiempo real con el servidor C2, al tiempo que dificulta su detección por parte de las herramientas de monitoreo tradicionales basadas en HTTP.
Los dispositivos móviles siguen siendo un objetivo destacado de los ciberataques
A principios de 2024, los expertos en ciberseguridad descubrieron un nuevo troyano de acceso remoto (RAT) para Android conocido como CraxsRAT, que ha estado atacando a usuarios bancarios en Malasia desde al menos febrero de 2024 a través de sitios web de phishing. También cabe destacar que ya se habían identificado campañas de CraxsRAT en Singapur en abril de 2023.
CraxsRAT es una conocida familia de malware dentro de la categoría de herramientas de administración remota (RAT) de Android, que ofrece funciones como control remoto de dispositivos y software espía. Estas incluyen registro de pulsaciones de teclas, ejecución de gestos y grabación de vídeo de cámaras, pantallas y llamadas. Los usuarios que descarguen aplicaciones que contengan CraxsRAT pueden sufrir robo de credenciales y retiro no autorizado de sus fondos.
