Mã độc SpyAgent nhắm vào ví điện tử thông qua quét hình ảnh

Nhóm nghiên cứu của McAfee cảnh báo về chiến dịch mã độc Android mới, tinh vi có tên là SpyAgent. Mã độc này nhắm vào ví tiền điện tử của người dùng bằng cách quét hình ảnh trên thiết bị của họ để tìm mnemonic key – cụm 12 ký tự thường được sử dụng để khôi phục quyền truy cập vào các ví này.

SpyAgent sử dụng một loạt các chiến thuật lừa đảo để dụ dỗ nạn nhân. Mã độc ngụy trang thành các ứng dụng tin cậy như ứng dụng ngân hàng, dịch vụ chính phủ, phát trực tuyến TV… để lừa người dùng tải xuống và cài đặt. Tiếp đến, ứng dụng độc hại sẽ bí mật thu thập và truyền dữ liệu nhạy cảm, bao gồm tin nhắn văn bản, danh bạ và hình ảnh đến các máy chủ từ xa.

Mã độc chủ yếu phát tán thông qua các chiến dịch lừa đảo ở Hàn Quốc, và gần đây mở rộng phạm vi sang Vương quốc Anh. Nạn nhân thường bị lừa nhấp vào các liên kết độc hại được gửi qua tin nhắn văn bản hoặc mạng xã hội, sau đó tải xuống và cài đặt ứng dụng giả mạo chứa SpyAgent.

Mã độc có nhiều tính năng, bao gồm đánh cắp danh bạ, tin nhắn SMS, ảnh và thông tin thiết bị. SpyAgent cũng có thể nhận lệnh từ máy chủ từ xa, cho phép sửa đổi cài đặt thiết bị và gửi tin nhắn SMS, từ đó mở rộng quy mô cuộc tấn công.

Những kẻ đứng sau SpyAgent liên tục cải tiến chiến thuật để tránh bị phát hiện. Hacker chuyển từ các truy vấn HTTP đơn giản sang kết nối WebSocket để liên lạc C2, khiến việc theo dõi trở nên khó khăn hơn. Đồng thời sử dụng các kỹ thuật tiên tiến để che giấu mã độc.

Phân tích cơ sở hạ tầng máy chủ C2 cho thấy mục tiêu chính của SpyAgent là lấy các cụm mnemonic cho ví tiền điện tử, cho thấy động cơ tài chính đằng sau chiến dịch.

Mặc dù mã độc hiện đang tập trung nhắm vào Android, nhưng việc phát hiện nhãn “iPhone” trong bảng quản trị cho thấy những kẻ tấn công có thể đang phát triển một biến thể mã độc cho iOS.

Nguồn: Security Online