I ricercatori di McAfee hanno individuato un nuovo malware Android, denominato SpyAgent, che sfrutta la tecnologia di riconoscimento ottico dei caratteri (OCR) per leggere le frasi di ripristino dagli screenshot salvati sul dispositivo. I cybercriminali possono quindi accedere ai wallet e trasferire tutte le criptovalute.
Oltre 280 app infette
Solitamente l’accesso ai wallet di criptovalute avviene dopo il furto delle credenziali tramite infostealer. Ignoti cybercriminali hanno invece sfruttato una cattiva abitudine di molti utenti. La frase di recupero (seed phrase) è una chiave mnemonica di backup lunga fino a 24 parole che permette di ripristinare l’accesso al wallet, ad esempio in caso di problemi hardware/software o quando è necessario trasferire il wallet su un altro dispositivo.
Invece di usare un password manager, molti utenti catturano uno screenshot e salvano l’immagine sul dispositivo. Gli esperti di McAfee hanno individuato oltre 280 app, distribuite al di fuori del Google Play Store, che nascondono SpyAgent. Le app sono presenti su siti web simili a quelli legittimi. I relativi link vengono inviati via SMS o pubblicati sui social media.
Durante l’installazione dei file APK vengono chiesti diversi permessi, tra cui quelli per accedere a messaggi, contatti e storage. All’avvio viene effettuato il collegamento con un server remoto. I cybercriminali ricevono l’elenco dei contatti, le informazioni sul dispositivo, tutti gli SMS e tutte le immagini.
Queste ultime vengono esaminate sul server con un tool OCR per individuare eventuali frasi di recupero dei wallet. Una volta scoperte, i cybercriminali trasferiscono le criptovalute sui wallet creati sui loro dispositivi. Al momento, SpyAgent supporta solo Android, ma una versione per iOS è già in sviluppo.