Le nouveau malware SpyAgent cible les utilisateurs Android pour voler les clés de récupération des portefeuilles crypto grâce à la technologie OCR
Une nouvelle campagne de malware mobile a émergé, ciblant les utilisateurs de dispositifs Android en Corée du Sud, avec l'introduction d'une menace sophistiquée connue sous le nom de SpyAgent. Ce malware utilise des techniques avancées, y compris la reconnaissance optique de caractères (OCR), pour scanner et voler des clés mnémotechniques, essentielles pour récupérer des portefeuilles de cryptomonnaie.
Selon le chercheur de McAfee Labs, SangRyol Ryu, le ciblage du malware s'est étendu au-delà de la Corée du Sud pour inclure des utilisateurs au Royaume-Uni. La campagne utilise principalement des applications Android contrefaites se faisant passer pour des applications bancaires, gouvernementales, de streaming et d'utilité légitimes, trompant les utilisateurs pour les inciter à les télécharger. Depuis le début de l'année, environ 280 fausses applications ont été identifiées.
L'attaque commence généralement par des messages SMS contenant des liens malveillants qui incitent les utilisateurs à télécharger les applications sous forme de fichiers APK depuis des sites trompeurs. Une fois installées, ces applications demandent des autorisations étendues pour accéder à des données sensibles sur l'appareil, y compris les contacts, les messages SMS et les photos. Ces informations sont ensuite exfiltrées vers un serveur contrôlé par les acteurs de la menace.
L'une des caractéristiques les plus alarmantes de SpyAgent est sa capacité à utiliser la technologie OCR pour capturer des clés mnémotechniques, qui sont des phrases de récupération permettant aux utilisateurs de retrouver l'accès à leurs portefeuilles de cryptomonnaie. Si les acteurs de la menace obtiennent un accès non autorisé à ces clés, ils peuvent prendre le contrôle des portefeuilles des victimes et vider leurs fonds.
McAfee Labs a noté des vulnérabilités de sécurité significatives dans l'infrastructure de commande et de contrôle (C2) utilisée par le malware. Ces lacunes permettent non seulement une navigation non autorisée vers le répertoire racine du site, mais exposent également les données collectées des victimes. Le serveur comprend un panneau d'administration qui permet le contrôle à distance des dispositifs infectés. Fait intéressant, un iPhone Apple fonctionnant sous iOS 15.8.2 avec sa langue réglée sur le chinois simplifié a été trouvé dans le panneau, suggérant un ciblage potentiel des utilisateurs iOS également.
Au départ, le malware communiquait avec son serveur C2 par le biais de requêtes HTTP basiques, une méthode efficace mais facilement détectable par les outils de sécurité. Cependant, dans un changement stratégique, le malware a évolué pour utiliser des connexions WebSocket pour la communication. Cette mise à niveau facilite des interactions plus efficaces et en temps réel avec le serveur C2 et aide à échapper à la détection par les outils de surveillance basés sur HTTP conventionnels.
Ce développement fait suite à un rapport récent de Group-IB, qui a révélé un autre cheval de Troie d'accès à distance Android (RAT) nommé CraxsRAT, ciblant les utilisateurs bancaires en Malaisie depuis au moins février 2024 via des sites de phishing. CraxsRAT a également été lié à des campagnes ciblant des utilisateurs à Singapour dès avril 2023.
CraxsRAT est connu pour ses capacités de contrôle à distance des dispositifs et de spyware, y compris la journalisation des frappes, l'exécution de gestes et l'enregistrement des caméras, des écrans et des appels. Les victimes qui téléchargent involontairement des applications contenant CraxsRAT risquent une fuite de leurs identifiants et des retraits de fonds non autorisés.