Ένα νέο Android malware, με το όνομα SpyAgent, χρησιμοποιεί τεχνολογία optical character recognition (OCR) για να κλέψει recovery phrases για crypto wallets (από screenshots που είναι αποθηκευμένα στην κινητή συσκευή).
Το recovery phrase είναι μια σειρά 12-24 λέξεων, που λειτουργεί ως εφεδρικό κλειδί για ένα crypto wallet. Αυτές οι φράσεις χρησιμοποιούνται για την αποκατάσταση της πρόσβασης στο πορτοφόλι, σε περίπτωση που χάσετε μια συσκευή ή θέλετε να μεταφέρετε το πορτοφόλι σας σε μια νέα συσκευή.
Οι εγκληματίες του κυβερνοχώρου αναζητούν αυτές τις πληροφορίες για να μπορέσουν να επαναφέρουν το πορτοφόλι του θύματος στις δικές τους συσκευές και να κλέψουν όλα τα χρήματα που είναι αποθηκευμένα.
Δείτε επίσης: NGate: Νέο Android malware βοηθά hackers να κλέψουν χρήματα
Επειδή τα recovery phrases για τα crypto wallets είναι μεγάλα, πολλοί δεν τα θυμούνται και τραβούν ένα screenshot για να το αποθηκεύουν ως εικόνα στο κινητό τους.
Ωστόσο, η McAfee ανακάλυψε το νέο Android malware SpyAgent (σε τουλάχιστον 280 APK που διανέμονται εκτός του Google Play) το οποίο χρησιμοποιεί SMS ή κακόβουλες αναρτήσεις στα μέσα κοινωνικής δικτύωσης. Αυτό το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει την τεχνολογία OCR για να ανακτήσει recovery phrases των crypto wallets σας, από τις εικόνες που είναι αποθηκευμένες στη συσκευή.
Ορισμένες από τις εφαρμογές Android προσποιούνται ότι σχετίζονται με κυβερνητικές υπηρεσίες της Νότιας Κορέας και του Ηνωμένου Βασιλείου, ιστότοπους γνωριμιών και ιστότοπους πορνογραφίας.
Αν και η δραστηριότητα στόχευε κυρίως τη Νότια Κορέα, η McAfee παρατήρησε επέκταση και στο Ηνωμένο Βασίλειο. Επίσης, ετοιμάζεται πιθανότατα και μια παραλλαγή iOS του SpyAgent malware.
Δείτε επίσης: Σιγκαπούρη: Δύο άνδρες κατηγορούνται για διανομή Android malware
SpyAgent Android malware: Κλοπή δεδομένων
Μόλις μολύνει μια νέα συσκευή, το SpyAgent αρχίζει να στέλνει τις ακόλουθες ευαίσθητες πληροφορίες στον διακομιστή εντολών και ελέγχου (C2):
- Λίστα επαφών του θύματος
- Εισερχόμενα μηνύματα SMS, συμπεριλαμβανομένων αυτών που περιέχουν κωδικούς πρόσβασης μίας χρήσης (OTP)
- Εικόνες που είναι αποθηκευμένες στη συσκευή για σάρωση OCR
- Γενικές πληροφορίες συσκευής
Το SpyAgent μπορεί επίσης να λάβει εντολές από το C2 για να αλλάξει τις ρυθμίσεις ήχου ή να στείλει μηνύματα SMS.
Οι επιτιθέμενοι δεν ήταν προσεκτικοί
Η McAfee διαπίστωσε ότι οι χειριστές της καμπάνιας SpyAgent δεν ήταν πολύ προσεκτικοί κατά τη διαμόρφωση των διακομιστών τους. Ως αποτέλεσμα, οι ερευνητές απέκτησαν πρόσβαση σε αυτούς τους διακομιστές. Έτσι, μπόρεσαν να εισέλθουν σε σελίδες του πίνακα διαχειριστή, καθώς και σε αρχεία και δεδομένα που είχαν κλαπεί από τα θύματα.
Δείτε επίσης: Το Android malware PixPirate χρησιμοποιεί νέα τακτική απόκρυψης
Οι κλεμμένες εικόνες επεξεργάζονται και σαρώνονται με OCR και στη συνέχεια οργανώνονται στον πίνακα διαχείρισης για να επιτρέψουν την εύκολη διαχείριση και την άμεση χρήση σε επιθέσεις κλοπής crypto wallets.
Προστασία
Για την προστασία από Android malware, είναι σημαντικό οι χρήστες να ακολουθούν κάποιες βέλτιστες πρακτικές ασφαλείας, όπως:
- Λήψη εφαρμογών μόνο από αξιόπιστες πηγές όπως το Google Play Store
- Ενημέρωση συσκευής και εφαρμογών
- Μεγάλη προσοχή σε ύποπτους συνδέσμους ή συνημμένα που αποστέλλονται μέσω email ή εφαρμογών ανταλλαγής μηνυμάτων
- Τακτικές σαρώσεις του Google Play Protect για τον έλεγχο εφαρμογών που έχουν εντοπιστεί ως κακόβουλο λογισμικό.
Επιπλέον, η χρήση ενός αξιόπιστου λογισμικού προστασίας από ιούς μπορεί να βοηθήσει στον εντοπισμό και την κατάργηση malware σε συσκευές Android. Καθώς η τεχνολογία εξελίσσεται, το ίδιο συμβαίνει και με τις τακτικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να στοχεύουν χρήστες Android. Η ενημέρωση σχετικά με πιθανές απειλές είναι απαραίτητη.
Πηγή: www.bleepingcomputer.com
