Cercetătorii cred că o versiune pentru iPhone este, de asemenea, în lucru
Pe scurt: Cercetătorii în domeniul securității au descoperit o formă deosebit de alarmantă de malware care păcălește utilizatorii să descarce o aplicație infectată pentru a se propaga. În timp ce vectorul de atac este comun, natura insidioasă a codului rău intenționat îl face unic. Acesta vizează și fură coduri de securitate criptomonede folosind OCR pentru a scana imagini pentru fraze de acces mnemonice.
O nouă tulpină sofisticată de malware Android a apărut din Coreea. Acesta vizează portofelele criptomonede prin exploatarea cheilor mnemonice ale utilizatorilor. Cercetătorul McAfee Labs SangRyol Ryu a dat peste malware după ce a urmărit datele furate de aplicații rău intenționate pe servere necinstite și a obținut acces.
Software-ul rău intenționat, numit SpyAgent, folosește tactici viclene pentru a se infiltra în dispozitive și a exfiltra informații sensibile, inclusiv fotografii care pot conține fraze de recuperare a portofelului. SpyAgent se deghizează în aplicații legitime, de la servicii bancare și guvernamentale la platforme de streaming și software utilitar. Până acum, McAfee a identificat peste 280 dintre aceste aplicații false.
Odată ce victima descarcă o aplicație infectată cu SpyAgent, malware-ul intră în acțiune, stabilind o conexiune cu un server de comandă și control (C2) care permite atacatorilor să emită instrucțiuni de la distanță. Apoi recoltează mesaje text, liste de contacte și imagini stocate de pe dispozitivul infectat.
Ceea ce diferențiază acest malware este utilizarea tehnologiei de recunoaștere optică a caracterelor (OCR) pentru a scana imagini pentru chei mnemonice – expresiile de 12 cuvinte folosite pentru a recupera portofelele criptomonede. Utilizarea frazelor mnemonice este în creștere în securitatea cripto-portofelor, deoarece sunt mai ușor de reținut decât un șir lung de caractere aleatorii.
SpyAgent s-a dovedit, de asemenea, viclean în eforturile sale de a evita detectarea. Atrage atenția victimei de la o posibilă problemă cu telefonul folosind ecrane de încărcare nesfârșite sau afișaje scurte goale.
Creatorii malware-ului s-au dovedit abili în extinderea acoperirii SpyAgent. Inițial, a vizat utilizatorii din Coreea. Cu toate acestea, malware-ul s-a răspândit recent în Regatul Unit. De asemenea, a trecut de la cereri HTTP simple la conexiuni WebSocket, permițând comunicarea în timp real, bidirecțională, cu serverul C2. Are tehnici inteligente pentru a evita detectarea de la cercetătorii de securitate, inclusiv codificarea șirurilor și redenumirea funcțiilor.
SpyAgent își face drum pe dispozitivele victimelor în mare parte prin campanii de phishing. Atacatorii folosesc tactici de inginerie socială pentru a atrage victimele să facă clic pe linkuri rău intenționate. Aceste link-uri direcționează utilizatorii către site-uri web false convingătoare care solicită descărcarea fișierului APK încărcat cu programe malware. Campaniile se dovedesc un succes deosebit atunci când sunt combinate cu datele de contact furate.
„Aceste mesaje de phishing, aparent trimise de un contact familiar, au mai multe șanse să fie de încredere și să fie luate în considerare de către destinatari”, a scris Ryu. „De exemplu, o notificare necrologică care pare să provină de la numărul unui prieten ar putea fi percepută ca fiind autentică, crescând foarte mult probabilitatea ca destinatarul să se implice în înșelătorie, în special în comparație cu încercările de phishing din surse necunoscute.”
Operațiunile de backend ale SpyAgent sunt foarte sofisticate, așa cum indică scala malware-ului. De exemplu, cercetătorii au descoperit pagini de administrare concepute pentru gestionarea dispozitivelor compromise. De asemenea, utilizează Python și Javascript pe partea de server pentru a procesa datele furate, care sunt apoi organizate și gestionate printr-un panou administrativ.
Un alt indiciu al rafinamentului său este cât de repede și-a dezvoltat picioarele. Prima observare a SpyAgent a fost abia la începutul acestui an și numai în Coreea. S-a răspândit deja la utilizatorii din Marea Britanie.
Cercetătorii în securitate speră să elimine SpyAgent, sau cel puțin să îl conțină, acum că știu cum funcționează. Cu toate acestea, creatorii săi continuă să-și perfecționeze tehnicile, iar McAfee consideră că în prezent dezvoltă o versiune iOS.