Исследователи
McAfee обнаружили новый тип мобильного ПО
SpyAgent для Android, реализующую технологию оптического распознавания символов
OCR для кражи фраз мнемонических ключей из изображений на устройстве.
Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.
Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.
Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.
Замеченная
McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами
Google Play с помощью SMS или вредоносных сообщений в социальных сетях.
Некоторые из заряженных приложений для
Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.
Основной таргет пришелся на
Южную Корею, но
McAfee заметила планвное расширение географии атака в сторону
Великобритании.
При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.
После заражения нового устройства
SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для
OCR изображения, а также общую информацию об устройстве.
SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.
Как удалось выяснить
McAfee, операторы
SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.
Изучив панель администратора, а также украшенные файлы и данные,
McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство
Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).
При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения
WebSocket.
Украденные изображения обрабатываются и сканируются с помощью
OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.
Следует отметить, что технология
OCR не нова в киберподполье, в июле 2023
Trend Micro находила два семейства вредоносных ПО для
Android под названием
CherryBlos и FakeTrade, распространявшихся через
Google Play.
Так что можно смело констатировать, что такая тактика начинает набирать популярность.