發生了什麼事?
- 防毒大廠McAfee團隊近期揭露名為「SpyAgent」的新型惡意軟體,專門針對Android用戶,透過掃描手機內的圖像來竊取助記詞。
- SpyAgent偽裝成各類看似可信的應用程式,包括銀行、政府服務、電視串流及日常工具。一旦安裝,這些惡意應用會秘密收集並傳送用戶的簡訊、聯絡人和所有存儲的圖像到遠端伺服器。
- McAfee已識別出超過280假應用程式參與其中,且這些應用程式自2024年1月起已在韓國活躍攻擊用戶。
惡意軟體攻擊機制:通過魚叉式攻擊與仿冒網站散播
「助記詞」是由12、15、18或24個單詞組成的詞組,可以說是進入個人錢包的「關鍵之鑰」。
惡意軟體SpyAgent的主要傳播方式是透過詐騙簡訊或社交媒體訊息,冒充受信任的組織或個人,誘導受害者點擊連結。
這些連結通常會將用戶重新導到外觀極度逼真的仿冒網站,並要求下載應用程式。下載的檔案看似合法,但實際上是惡意軟體。
在用戶進行安裝時,軟體會要求存取敏感訊息如SMS訊息、聯絡人、圖片等,並允許後台運行,這些許可權都會被用來危害用戶的隱私與安全。
惡意軟體安裝後,會將用戶的所有聯絡人、簡訊和存儲的圖片傳送至遠端伺服器,這些數據不僅可能用於進一步的詐騙行為,還可能用於擴大惡意軟體的傳播範圍。
駭客的主要目的是獲取加密貨幣錢包的助記詞。為此,攻擊者利用光學字元識別技術(OCR),將圖片中的文字轉換為數據,並在管理面板中進行整理與操作。
iPhone用戶也要小心了!
McAfee在調查中發現,SpyAgent的指揮與控制伺服器有著嚴重安全漏洞,讓未經授權的訪問者也能進入並查看伺服器的內部文件。
這些伺服器管理著多個文件夾,每個文件夾都針對不同的目標,如模仿銀行、郵政服務等機構。而當伺服器內部結構意外暴露,被竊取的受害者資料也被迫公諸於眾,其中包括大量從受害者設備上收集的私人照片。
一開始,SpyAgent使用簡單的HTTP請求與C2伺服器通訊,還算容易被安全工具攔截。然而,隨著技術的進步,SpyAgent開始改用能有效地避開傳統HTTP監測工具,並增加了駭客操作的隱蔽性的方式。
惡意軟體還透過進階的混淆技術隱藏其惡意代碼,包括插入無用代碼及函數重新命名等,讓惡意軟體的檢測難度大幅提升。
此外,SpyAgent的應用策略也有所變化,最新觀察顯示該軟體已開始在英國蔓延,攻擊者正有意識地擴大其目標範圍,瞄準新市場和用戶群。更值得警惕的是,在駭客的管理面板中出現了「iPhone」的項目,暗示他們可能正在開發針對iOS的變種版本。
也就是說,無論是Android還是iOS平台,未來都需高度警戒此類威脅。
參考資料:mcafee、cointelegraph
