Специалисты по кибербезопасности из компании McAfee обнаружили новую серьезную угрозу для пользователей Android-устройств. Вредоносное ПО под названием SpyAgent использует передовые технологии для кражи конфиденциальной информации, в частности, seed-фраз от криптовалютных кошельков. Масштаб распространения малвари вызывает серьезные опасения у экспертов.
Механизм работы SpyAgent: использование OCR для кражи seed-фраз
SpyAgent применяет технологию оптического распознавания символов (OCR) для извлечения seed-фраз криптовалютных кошельков из скриншотов, сохраненных на зараженных устройствах. Seed-фразы, состоящие из 12-24 слов, являются ключом к восстановлению доступа к криптокошельку и хранящимся в нем средствам. Многие пользователи, стремясь не забыть эти сложные комбинации слов, сохраняют их в виде скриншотов, чем и пользуются злоумышленники.
Масштаб распространения и методы заражения
Аналитики McAfee выявили не менее 280 вредоносных APK-файлов, содержащих SpyAgent. Распространение происходит преимущественно за пределами официального магазина Google Play через SMS-сообщения и социальные сети. Вредоносные приложения маскируются под легитимные сервисы, включая:
- Государственные службы Южной Кореи и Великобритании
- Официальные банковские приложения
- Приложения для знакомств
- Порносайты
Хотя изначально SpyAgent таргетировал пользователей из Южной Кореи, недавно его активность распространилась и на Великобританию.
Функциональность и возможности SpyAgent
После заражения устройства, SpyAgent собирает и передает на командный сервер широкий спектр конфиденциальной информации, включая:
- Данные о устройстве и операционной системе
- Список установленных приложений
- Контакты
- SMS-сообщения
- Файлы и медиаданные
Кроме того, вредонос может получать команды от операторов для изменения настроек звука и отправки SMS, что потенциально используется для дальнейшего распространения малвари и фишинговых атак.
Уязвимости в инфраструктуре злоумышленников
Исследователи McAfee обнаружили серьезные нарушения безопасности в настройках серверов операторов SpyAgent. Это позволило аналитикам получить доступ к панели администратора, украденным файлам и данным жертв. Выяснилось, что похищенные изображения обрабатываются с помощью OCR непосредственно на серверной стороне, что упрощает злоумышленникам процесс кражи криптовалютных средств.
Эволюция угрозы и перспективы развития
Разработчики SpyAgent постоянно совершенствуют свое вредоносное ПО, применяя различные методы обфускации кода для усложнения его обнаружения. Среди используемых техник:
- Кодирование строк
- Добавление нерелевантного кода
- Переименование функций и переменных
Особую тревогу вызывает обнаружение признаков разработки версии SpyAgent для устройств на базе iOS, что может значительно расширить потенциальную аудиторию атак.
SpyAgent является частью тревожной тенденции использования OCR-технологий во вредоносном ПО. Ранее подобный подход применялся в малвари CherryBlos и FakeTrade, которым даже удалось проникнуть в официальный магазин Google Play. Это подчеркивает необходимость повышенной бдительности пользователей и совершенствования методов защиты мобильных устройств от современных киберугроз.
