14 octobre 2024

SpyAgent : Un nouveau malware Android menaçant vos phrases de récupération de cryptomonnaie

Le malware SpyAgent utilise la technologie OCR pour voler les phrases de récupération des portefeuilles de cryptomonnaie à partir d'images sur des appareils mobiles, représentant une menace sérieuse pour les utilisateurs.

SpyAgent : Un nouveau malware Android menaçant vos phrases de récupération de cryptomonnaie

Un nouveau malware Android, connu sous le nom de SpyAgent, représente une menace significative pour les utilisateurs de cryptomonnaies en utilisant une technologie avancée de reconnaissance optique de caractères (OCR) pour extraire des phrases de récupération sensibles à partir d'images stockées sur des appareils mobiles.

Les phrases de récupération de cryptomonnaies, également appelées phrases de départ, sont cruciales pour accéder aux portefeuilles de cryptomonnaies. Ces phrases, généralement composées de 12 à 24 mots, servent de clé de sauvegarde, permettant aux utilisateurs de restaurer leurs portefeuilles et de retrouver l'accès à leurs fonds en cas de perte d'appareil, de corruption de données ou lors du transfert de portefeuilles vers de nouveaux appareils.

En raison de leur importance, ces phrases de récupération sont des cibles privilégiées pour les cybercriminels. S'ils parviennent à obtenir ces phrases, ils peuvent facilement restaurer le portefeuille sur leurs propres appareils et siphonner tous les fonds qu'il contient.

De nombreux utilisateurs ont du mal à mémoriser ces longues phrases, ce qui les pousse à les sauvegarder ou à les imprimer pour les conserver en sécurité. Malheureusement, certaines personnes prennent des captures d'écran de leurs phrases de récupération et les stockent sous forme d'images sur leurs appareils mobiles, ce que SpyAgent exploite.

Selon un rapport de McAfee, cette opération de malware a été liée à au moins 280 APK distribués en dehors du Google Play Store, souvent par le biais de messages SMS ou de publications malveillantes sur les réseaux sociaux. La capacité de SpyAgent à utiliser la technologie OCR pour extraire des phrases de récupération à partir d'images en fait une menace redoutable pour les détenteurs de cryptomonnaies.

Le malware se fait passer pour des applications légitimes, y compris celles prétendant être associées à des services gouvernementaux sud-coréens et britanniques, des plateformes de rencontre et des sites de contenu pour adultes. Bien que ses cibles principales aient été en Corée du Sud, McAfee a noté une expansion potentielle vers le Royaume-Uni, avec des indications qu'une variante iOS pourrait être en développement.

En juillet 2023, Trend Micro a identifié deux autres familles de malwares Android, CherryBlos et FakeTrade, qui utilisaient également l'OCR pour dérober des données de cryptomonnaie à partir d'images. Cette tendance suggère que de telles tactiques deviennent de plus en plus populaires parmi les cybercriminels.

Une fois que SpyAgent infiltre un appareil, il commence à transmettre des informations sensibles à son serveur de commandement et de contrôle (C2), y compris :

  • La liste de contacts de la victime, probablement pour faciliter la propagation du malware via des contacts de confiance.
  • Les images stockées sur l'appareil pour le scan OCR.
  • Des informations génériques sur l'appareil, ce qui aide à optimiser les attaques du malware.

De plus, SpyAgent peut recevoir des commandes du serveur C2 pour modifier les paramètres sonores ou envoyer des messages SMS, pouvant être utilisés pour envoyer des textos de phishing visant à distribuer davantage le malware.

L'enquête de McAfee a révélé que les opérateurs de la campagne SpyAgent n'avaient pas mis en place des mesures de sécurité adéquates pour leurs serveurs, permettant aux chercheurs d'accéder aux pages du panneau d'administration et aux fichiers contenant des données volées aux victimes. Cette accessibilité a confirmé que le malware avait réussi à compromettre plusieurs utilisateurs.

Les images volées sont traitées et scannées pour l'OCR côté serveur, avec les résultats organisés sur le panneau d'administration pour une gestion efficace et une utilisation immédiate dans des attaques de détournement de portefeuille.

Pour se protéger contre cette menace émergente sur les appareils Android, les utilisateurs devraient s'abstenir d'installer des applications provenant de sources extérieures au Google Play Store, car celles-ci sont souvent utilisées pour distribuer des malwares. De plus, ils devraient ignorer les messages SMS qui les dirigent vers des liens de téléchargement d'APK et révoquer les autorisations qui semblent inutiles pour les fonctions principales de l'application.

Il est également conseillé de réaliser régulièrement des analyses de protection Google Play pour identifier les applications signalées comme malveillantes.

Source: BleepingComputer