Aproveitando-se de um hábito dos usuários, o malware SpyAgent rouba frases de recuperação de criptomoedas no Android.
Uma frase de recuperação de criptomoeda, ou frase semente, é uma série de 12 a 24 palavras que atua como uma chave de backup para uma carteira de criptomoedas.
Essas frases são usadas para restaurar o acesso à sua carteira de criptomoedas e todos os seus fundos no caso de você perder um dispositivo, dados serem corrompidos ou desejar transferir sua carteira para um novo dispositivo.
Essas frases secretas são muito procuradas por agentes de ameaças, pois se eles puderem obter acesso a elas, eles podem usá-las para restaurar sua carteira em seus próprios dispositivos e roubar todos os fundos armazenados nela.
Como as frases de recuperação têm de 12 a 24 palavras, elas são difíceis de lembrar, então as carteiras de criptomoedas dizem às pessoas para salvar ou imprimir as palavras e armazená-las em um local seguro.
Para facilitar, algumas pessoas tiram uma captura de tela da frase de recuperação e a salvam como uma imagem de seu dispositivo móvel.
Dito isso, um novo malware para Android chamado SpyAgent usa tecnologia de reconhecimento óptico de caracteres (OCR) para roubar frases de recuperação de carteira de criptomoedas de capturas de tela armazenadas no dispositivo móvel.
SpyAgent rouba frases de recuperação de criptomoedas no Android
Uma operação de malware descoberta pela McAfee foi rastreada até pelo menos 280 APKs distribuídos fora do Google Play usando SMS ou postagens maliciosas em mídias sociais.
Esse malware pode usar OCR para recuperar frases de recuperação de criptomoedas de imagens armazenadas em um dispositivo Android, o que o torna uma ameaça significativa.
Alguns dos aplicativos Android fingem ser para serviços governamentais da Coreia do Sul e do Reino Unido, sites de namoro e sites de pornografia.
Embora a atividade tenha como alvo principal a Coreia do Sul, a McAfee observou uma expansão provisória para o Reino Unido e sinais de que uma variante do iOS pode estar em desenvolvimento inicial.
Em julho de 2023, a Trend Micro revelou duas famílias de malware Android chamadas CherryBlos e FakeTrade, espalhadas pelo Google Play, que também usavam OCR para roubar dados de criptomoedas de imagens extraídas, então essa tática parece estar ganhando força.
Extração de dados do SpyAgent
Assim que infecta um novo dispositivo, o SpyAgent começa a enviar as seguintes informações confidenciais para seu servidor de comando e controle (C2):
- Lista de contatos da vítima, provavelmente para distribuir o malware via SMS originado de contatos confiáveis.
- Mensagens SMS recebidas, incluindo aquelas contendo senhas de uso único (OTPs).
- Imagens armazenadas no dispositivo para uso na varredura de OCR.
- Informações genéricas do dispositivo, provavelmente para otimizar os ataques.
O SpyAgent também pode receber comandos do C2 para alterar as configurações de som ou enviar mensagens SMS, provavelmente usadas para enviar textos de phishing para distribuir o malware.
Infraestrutura exposta
A McAfee descobriu que os operadores da campanha do SpyAgent não seguiram as práticas de segurança adequadas na configuração de seus servidores, permitindo que os pesquisadores obtivessem acesso a eles.
As páginas do painel de administração, bem como os arquivos e dados roubados das vítimas, eram facilmente acessíveis, permitindo que a McAfee confirmasse que o malware havia reivindicado várias vítimas.
As imagens roubadas são processadas e escaneadas por OCR no lado do servidor e, em seguida, organizadas no painel de administração de acordo para permitir fácil gerenciamento e utilização imediata em ataques de sequestro de carteira.
Para mitigar esse risco no Android, é importante não instalar aplicativos Android fora do Google Play, pois eles são comumente usados para distribuir malware.
Além disso, os usuários devem desconsiderar mensagens SMS apontando para URLs de download de APK e revogar permissões perigosas que parecem não relacionadas à funcionalidade principal do aplicativo.
Finalmente, as varreduras do Google Play Protect devem ser conduzidas periodicamente para verificar se há aplicativos que foram detectados como malware.