Cybersicherheitsexperten von McAfee haben eine besorgniserregende Entdeckung gemacht: Mindestens 280 Android-Anwendungen sind mit der hochentwickelten Malware SpyAgent infiziert. Diese Schadsoftware setzt eine innovative Technik ein, um Kryptowährungen zu stehlen – die optische Zeichenerkennung (OCR).
Wie SpyAgent Seed-Phrasen von Krypto-Wallets kompromittiert
SpyAgent zielt auf die sogenannten Seed-Phrasen ab, die als Backup-Schlüssel für Kryptowährungswallets dienen. Diese Phrasen bestehen typischerweise aus 12-24 Wörtern und ermöglichen die Wiederherstellung des Zugriffs auf ein Wallet bei Geräteverlust oder Datenbeschädigung. Da viele Nutzer Screenshots dieser Phrasen anfertigen, nutzt SpyAgent OCR-Technologie, um diese Bilder zu analysieren und die wertvollen Informationen zu extrahieren.
Verbreitungsmethoden und Tarnung der Malware
Die infizierten APK-Dateien werden außerhalb des Google Play Stores verbreitet, hauptsächlich über SMS und Social-Media-Nachrichten. Die Angreifer tarnen ihre schädlichen Apps geschickt als legitime Regierungsdienste, Bank-Apps oder Dating-Plattformen. Obwohl der Fokus bisher auf Südkorea lag, wurde kürzlich auch eine Ausbreitung nach Großbritannien beobachtet.
Funktionsweise und Datenexfiltration
Nach der Installation sammelt SpyAgent umfangreiche Informationen vom infizierten Gerät, darunter:
- Geräte-Identifikationsdaten
- Installierte Apps
- Kontaktlisten
- SMS-Nachrichten
- Anrufprotokolle
- Standortdaten
- Gespeicherte Bilder und Videos
Die Malware kann zudem Befehle von ihren Betreibern empfangen, um Geräteeinstellungen zu manipulieren oder SMS zu versenden – vermutlich zur weiteren Verbreitung der Infektion.
Sicherheitslücken in der Infrastruktur der Angreifer
Ironischerweise ermöglichten Sicherheitsmängel in der Serverinfrastruktur der Angreifer den McAfee-Forschern Zugang zu sensiblen Daten. Sie konnten das Admin-Panel einsehen und Einblick in die gestohlenen Nutzerdaten gewinnen. Dies unterstreicht die Wichtigkeit umfassender Sicherheitsmaßnahmen – selbst für Cyberkriminelle.
Weiterentwicklung und Zukunftsaussichten
Die Entwickler von SpyAgent arbeiten kontinuierlich an der Verbesserung ihrer Malware. Neue Versionen setzen verstärkt auf Obfuskationstechniken wie String-Kodierung, Code-Verschleierung und Umbenennung von Funktionen. Besorgniserregend ist auch die Entdeckung von Hinweisen auf eine iOS-Version der Malware, was die potenzielle Ausweitung der Bedrohung andeutet.
Der Einsatz von OCR-Technologie in Malware ist kein Einzelfall. Frühere Entdeckungen wie CherryBlos und FakeTrade zeigen, dass diese Methode zunehmend von Cyberkriminellen genutzt wird. Um sich zu schützen, sollten Nutzer besondere Vorsicht beim Herunterladen von Apps walten lassen, insbesondere außerhalb offizieller App-Stores. Zudem ist es ratsam, sensible Informationen wie Seed-Phrasen niemals digital zu speichern, sondern sie sicher offline aufzubewahren. Eine regelmäßige Aktualisierung von Betriebssystemen und Sicherheitssoftware bleibt weiterhin unverzichtbar, um sich gegen solche fortschrittlichen Bedrohungen zu wappnen.