Команда мобильных исследований McAfee обнаружила новый тип мобильного вредоносного ПО, SpyAgent, который замаскирован под различные надежные приложения, такие как банковские, государственные и потоковое телевидение. Эти поддельные приложения собирают и отправляют на удаленные серверы текстовые сообщения, контакты и сохраненные изображения пользователей. Они также отвлекают пользователей, чтобы скрыть свою деятельность. Более 280 поддельных приложений было выявлено в Корее с января 2024 года.
SpyAgent
Распространение этого вредоносного ПО осуществляется через фишинговые кампании. Злоумышленники отправляют текстовые сообщения или прямые сообщения в социальных сетях с вредоносными ссылками. Когда пользователь нажимает на ссылку, он загружает вредоносное приложение APK и устанавливает его на свое устройство. После установки приложение запрашивает разрешение на доступ к конфиденциальной информации и начинает кражу данных.
Вредоносная программа SpyAgent перехватывает контакты, SMS-сообщения и фотографии пользователя. Она также собирает информацию об устройстве, такую как версию операционной системы и номер телефона. Вредоносная программа функционирует как агент и получает команды с удаленного сервера. Команды могут изменять звуковые настройки устройства и отправлять SMS-сообщения.
При исследовании командно-контрольных серверов было обнаружено, что некоторые из них имели слабые конфигурации безопасности, что позволяло получить доступ к определенным страницам и файлам без использования учетных данных. Также было обнаружено, что сервер содержит различные папки, каждая из которых имитирует различные организации или учреждения.
В связи с неправильной конфигурацией сервера, некоторые внутренние компоненты и конфиденциальные данные пользователей оказались в открытом доступе. В папке 'uploads' были найдены файлы с конфиденциальными данными пользователей.
Indicators of Compromise
Domains
- ahd.lat
- allsdy999.org
- etr.lat
- gf79.org
- goodapps.top
- gov24.me
- gov24.top
- krgoodapp.top
- krgov24.top
- like1902.xyz
- make69.info
- messtube999.info
- mtube888.info
- mylove777.org
- oktube999.info
- top1114.online
- ytube888.info
SHA256
- 020c51ca238439080ec12f7d4bc4ddbdcf79664428cd0fb5e7f75337eff11d8a
- 0ca26d6ed1505712b454719cb062c7fbdc5ae626191112eb306240d705e9ed23
- 0e778b6d334e8d114e959227b4424efe5bc7ffe5e943c71bce8aa577e2ab7cdb
- 149bd232175659434bbeed9f12c8dd369d888b22afaf2faabc684c8ff2096f8c
- 19060263a9d3401e6f537b5d9e6991af637e1acb5684dbb9e55d2d9de66450f2
- 1bff1823805d95a517863854dd26bbeaa7f7f83c423454e9abd74612899c4484
- 1d9afa23f9d2ab95e3c2aecbb6ce431980da50ab9dea0d7698799b177192c798
- 26d761fac1bd819a609654910bfe6537f42f646df5fc9a06a186bbf685eef05b
- 34c2a314dcbb5230bf79e85beaf03c8cee1db2b784adf77237ec425a533ec634
- 373e5a2ee916a13ff3fc192fb59dcd1d4e84567475311f05f83ad6d0313c1b3b
- 3d69eab1d8ce85d405c194b30ac9cc01f093a0d5a6098fe47e82ec99509f930d
- 4cf35835637e3a16da8e285c1b531b3f56e1cc1d8f6586a7e6d26dd333b89fcf
- 5b634ac2eecc2bb83c0403edba30a42cc4b564a3b5f7777fe9dada3cd87fd761
- 789374c325b1c687c42c8a2ac64186c31755bfbdd2f247995d3aa2d4b6c1190a
- 7d346bc965d45764a95c43e616658d487a042d4573b2fdae2be32a0b114ecee6
- 8bbcfe8555d61a9c033811892c563f250480ee6809856933121a3e475dd50c18
- 94aea07f38e5dfe861c28d005d019edd69887bc30dcc3387b7ded76938827528
- d340829ed4fe3c5b9e0b998b8a1afda92ca257732266e3ca91ef4f4b4dc719f8
- f7c4c6ecbad94af8638b0b350faff54cb7345cf06716797769c3c8da8babaaeb
- f9509e5e48744ccef5bfd805938bf900128af4e03aeb7ec21c1e5a78943c72e7