Аналитики компании McAfee выявили, что как минимум 280 приложений для устройств на базе Android заражены вредоносной программой SpyAgent. Хакеры пользуются технологией оптического распознавания символов (OCR), чтобы похищать с фотографий жертв ключевые фразы для восстановления доступа к криптовалютным кошелькам.
Фраза восстановления, она же seed-фраза, обычно состоит из серии из 12-24 слов и служит резервным ключом для криптовалютного кошелька. Эти фразы необходимы для восстановления доступа к криптокошельку и всем его средствам, например, если пользователь потеряет устройство, повредит данные или захочет перенести кошелек на другое устройство.
Из-за сложности запоминания длинных seed-фраз пользователям рекомендуется записывать их, печатать и хранить в безопасном месте. Многие предпочитают делать скриншоты таких фраз и сохранять их на своем устройстве. Это поведение привлекло внимание авторов вредоноса SpyAgent, который использует OCR для восстановления seed-фраз с изображений, сохраненных на Android-устройствах.
McAfee обнаружила не менее 280 вредоносных APK со SpyAgent, распространяемых вне официального магазина Google Play через SMS и сообщения в соцсетях. Некоторые из этих приложений позиционируют себя как реальные правительственные службы Южной Кореи и Великобритании, официальные банковские приложения, а также маскируются под приложения для знакомств и порносайты. Основная активность SpyAgent направлена на пользователей в Южной Корее, но эксперты отметили недавнее распространение угрозы и на Великобританию.
После инфицирования устройства SpyAgent отправляет на управляющий сервер следующую информацию: список контактов жертвы (возможно, для дальнейшего распространения малвари через SMS), входящие SMS-сообщения, включая одноразовые пароли, изображения, хранящиеся на устройстве для OCR-сканирования, и общую информацию об устройстве. SpyAgent также может получать команды от операторов на изменение звуковых настроек устройства или отправку SMS-сообщений, вероятно, для рассылки фишинговых сообщений и распространения вредоносного ПО.
Разработчики SpyAgent допустили ошибки в настройках своих серверов, что позволило исследователям получить к ним доступ. Исследователи получили доступ к панели администратора, а также к файлам и данным, украденным у жертв. Украденные изображения обрабатывались и сканировались с использованием OCR, после чего упорядочивались в панели администратора, что позволяло хакерам легко управлять ими и использовать для взлома чужих кошельков.
SpyAgent активно развивается, чтобы скрыть свою вредоносную функциональность. Методы обфускации включают кодирование строк, добавление нерелевантного кода, переименование функций и переменных. Также обнаружена работа над версией SpyAgent для устройств на базе iOS.
Это не первый случай использования OCR вредоносами для кражи информации с изображений. Например, в прошлом году исследователи из Trend Micro обнаружили Android-вредоносы CherryBlos и FakeTrade, также использовавшие OCR и проникшие даже в официальный магазин Google Play.