Pericolo SpyAgent: Il Malware Android che Ruba le Tue Criptovalute con l'OCR
- Redazione
- News
- Visite: 1056
Un nuovo tipo di malware per dispositivi Android, denominato SpyAgent, sta prendendo di mira gli utenti in Corea del Sud, con un'attenzione particolare verso le chiavi di recupero dei portafogli di criptovalute. Secondo un'analisi di McAfee Labs, il malware utilizza il riconoscimento ottico dei caratteri (OCR) per individuare e rubare le chiavi mnemoniche dagli utenti. Queste chiavi rappresentano una frase di recupero che permette agli utenti di riaccedere ai loro portafogli di criptovalute, e il loro furto potrebbe consentire ai malintenzionati di prendere il controllo dei fondi.
La campagna di malware
La campagna di malware si basa su applicazioni Android false, mascherate da app bancarie, governative, di streaming e utility apparentemente legittime, per ingannare gli utenti e indurli a installarle. Dal principio dell'anno sono state individuate fino a 280 applicazioni fasulle. Il processo inizia con SMS contenenti link infetti che spingono gli utenti a scaricare le app sotto forma di file APK ospitati su siti ingannevoli. Una volta installate, queste app richiedono permessi intrusivi per raccogliere dati dai dispositivi, tra cui contatti, messaggi SMS, foto e altre informazioni.
Capacità di SpyAgent
Uno degli aspetti più notevoli di SpyAgent è la sua capacità di sfruttare l'OCR per rubare le chiavi mnemoniche, elemento cruciale per l'accesso ai portafogli di criptovalute. L'accesso non autorizzato a queste chiavi potrebbe permettere ai cybercriminali di svuotare i fondi dei portafogli delle vittime. McAfee Labs ha rilevato che l'infrastruttura di comando e controllo (C2) del malware presentava gravi falle di sicurezza, consentendo la navigazione nella directory principale del sito senza autenticazione e lasciando esposti i dati raccolti dalle vittime.
Il server ospita anche un pannello amministrativo che funge da centro di comando per controllare in remoto i dispositivi infetti. La presenza di un dispositivo Apple iPhone con iOS 15.8.2 e lingua di sistema impostata su cinese semplificato ("zh") indica che il malware potrebbe prendere di mira anche gli utenti iOS. Originariamente, il malware comunicava con il suo server C2 tramite semplici richieste HTTP, ma ha recentemente adottato connessioni WebSocket per una comunicazione più efficiente e in tempo reale, rendendo più difficoltosa la rilevazione da parte degli strumenti di monitoraggio delle reti basati su HTTP.
Questo sviluppo segue di poco più di un mese l'esposizione di un altro trojan di accesso remoto per Android, CraxsRAT, da parte di Group-IB. Questo malware ha preso di mira gli utenti bancari in Malesia utilizzando siti di phishing. CraxsRAT è noto per le sue capacità di controllo remoto del dispositivo e spyware, inclusi keylogging, registrazione di telecamere, schermi e chiamate, portando al furto di credenziali e prelievi di fondi non autorizzati.