Una nuova campagna malware per Android, denominata SpyAgent, ha attirato l’attenzione degli esperti di sicurezza informatica McAfee.
Questo malware è particolarmente insidioso poiché prende di mira le cosiddette chiavi mnemoniche, ossia le frasi composte da 12 parole che vengono utilizzate per recuperare i wallet di criptovalute: sfruttando il riconoscimento delle immagini, riesce a decodificare i codici memorizzati al loro interno.
“McAfee ha identificato oltre 280 applicazioni false coinvolte in questo schema, che hanno preso di mira attivamente gli utenti in Corea da gennaio 2024.”, spiega SangRyol Ryu.
Fonte: McAfee.
Indice degli argomenti
Come funziona SpyAgent
In pratica, link dannosi inviati tramite messaggi di phishing portano a falsi siti web dall’aspetto legittimo che chiedono di scaricare un’app (file APK) per presunti servizi bancari, governativi, streaming TV o utility varie.
Durante la fase d’installazione vengono richieste autorizzazioni di accesso presentate come necessarie per il corretto funzionamento dell’app, ma che in realtà servono solo per infettare il sistema con SpyAgent e compromettere la privacy e la sicurezza dell’utente.
Una volta installato sul dispositivo, il malware inizia a raccogliere informazioni sensibili, tra cui:
- Messaggi di testo: SpyAgent può leggere e inviare messaggi di testo, permettendo ai malintenzionati di intercettare comunicazioni private.
- Contatti: Il malware accede alla rubrica del dispositivo, raccogliendo informazioni sui contatti dell’utente.
- Immagini: Utilizzando tecniche di riconoscimento delle immagini, SpyAgent scansiona le foto sul dispositivo alla ricerca di chiavi mnemoniche.
I ricercatori sarebbero riusciti a scoprire la struttura di alcuni server C2 della campagna e, sfruttando l’errata configurazione di sicurezza degli stessi, ad accedere al pannello di amministrazione, directory, file e dati rubati.
Fonte: McAfee.
Ciò ha consentito, ad esempio, di ricostruire il meccanismo per ricavare le frasi mnemoniche dagli screenshot fatti dalle vittime per conservare più facilmente le frasi di recupero come immagine sui propri dispositivi.
“Questa minaccia utilizza Python e Javascript sul lato server per elaborare i dati rubati.”, continua SangRyol Ryu. “Nello specifico, le immagini vengono convertite in testo utilizzando tecniche di riconoscimento ottico dei caratteri (OCR), che vengono poi organizzate e gestite tramite un pannello amministrativo”.
Fonte: McAfee.
Rischi associati a SpyAgent
Il furto delle chiavi mnemoniche rappresenta un grave rischio per gli utenti di criptovalute. Queste chiavi sono essenziali per accedere ai wallet digitali e, se compromesse, possono portare alla perdita di tutti i fondi.
Inoltre, il furto di messaggi di testo e contatti può esporre gli utenti a ulteriori attacchi di phishing e altre forme di frode.
Misure di protezione
Sebbene l’attività abbia preso di mira principalmente la Corea del Sud, McAfee ha osservato un’espansione dell’attacco nel Regno Unito e segnali che indicherebbero una variante per iPhone in fase di sviluppo, indicando che gli attaccanti starebbero estendendo le loro operazioni geograficamente e verso nuovi gruppi di utenti.,
Pertanto, SpyAgent rappresenta una nuova e pericolosa minaccia ma che con le giuste precauzioni è possibile arginare:
- Scaricare app solo da fonti affidabili: evitare di scaricare app da siti web non ufficiali o da link ricevuti tramite messaggi di testo o e-mail.
- Verificare l’autenticità delle app: controllare le recensioni e le valutazioni delle app prima di scaricarle. Prestare attenzione a eventuali segnalazioni di comportamento sospetto.
- Utilizzare software di sicurezza: installare un’app di sicurezza affidabile, per rilevare e prevenire le minacce.
- Aggiornare regolarmente il sistema operativo: mantenere il dispositivo aggiornato con le ultime patch di sicurezza per ridurre le vulnerabilità.
