SpyAgent Android Kötü Amaçlı Yazılım: Kripto Para Kurtarma Cümlelerinize Yeni Bir Tehdit
Yeni keşfedilen bir Android kötü amaçlı yazılım olan SpyAgent, mobil cihazlarda depolanan görüntülerden hassas kurtarma cümlelerini çıkarmak için gelişmiş optik karakter tanıma (OCR) teknolojisi kullanarak kripto para kullanıcıları için önemli bir tehdit oluşturmaktadır.
Kripto para kurtarma cümleleri, tohum cümleleri olarak da adlandırılır ve kripto para cüzdanlarına erişim için kritik öneme sahiptir. Genellikle 12 ila 24 kelimeden oluşan bu cümleler, kullanıcıların cüzdanlarını geri yüklemelerine ve cihaz kaybı, veri bozulması veya cüzdanların yeni cihazlara aktarılması durumlarında fonlarına yeniden erişmelerine olanak tanıyan bir yedek anahtar görevi görür.
Önemi nedeniyle, bu kurtarma cümleleri siber suçlular için birincil hedeflerdir. Bu cümleleri elde etmeyi başararlarsa, cüzdanı kendi cihazlarında kolayca geri yükleyebilir ve içindeki tüm fonları siphonlayabilirler.
Birçok kullanıcı bu uzun cümleleri ezberlemekte zorlanır ve bu nedenle onları güvenli bir şekilde saklamak için kaydetmeye veya yazdırmaya yönelir. Ne yazık ki, bazı bireyler kurtarma cümlelerinin ekran görüntülerini alarak bunları mobil cihazlarında görüntü olarak saklamaya başvururlar ve SpyAgent bunu istismar eder.
McAfee'nin bir raporuna göre, bu kötü amaçlı yazılım operasyonu, Google Play Store dışında dağıtılan en az 280 APK ile ilişkilendirilmiştir ve genellikle SMS mesajları veya kötü niyetli sosyal medya gönderileri aracılığıyla yayılmaktadır. SpyAgent'in görüntülerden kurtarma cümlelerini çıkarmak için OCR teknolojisini kullanabilmesi, onu kripto para sahipleri için korkutucu bir tehdit haline getiriyor.
Kötü amaçlı yazılım, Güney Kore ve Birleşik Krallık hükümet hizmetleriyle, flört platformlarıyla ve yetişkin içerik siteleriyle ilişkili olduğunu iddia eden meşru uygulamalar olarak maskelenmektedir. Ana hedefleri Güney Kore'de olsa da, McAfee, Birleşik Krallık'a potansiyel bir genişleme ve bir iOS varyantının geliştirilmekte olduğuna dair belirtiler olduğunu belirtmiştir.
Temmuz 2023'te Trend Micro, görüntülerden kripto para verilerini çalmak için OCR kullanan CherryBlos ve FakeTrade adında iki başka Android kötü amaçlı yazılım ailesini tanımladı. Bu trend, bu tür taktiklerin siber suçlular arasında giderek daha popüler hale geldiğini göstermektedir.
SpyAgent bir cihaza sızdığında, aşağıdaki bilgileri komut ve kontrol (C2) sunucusuna iletmeye başlar:
- Kurbanın iletişim listesi, muhtemelen kötü amaçlı yazılımın güvenilir kişiler aracılığıyla yayılmasını kolaylaştırmak için.
- OCR taraması için cihazda depolanan görüntüler.
- Kötü amaçlı yazılımın saldırılarını optimize etmeye yardımcı olan genel cihaz bilgileri.
Ayrıca, SpyAgent, C2 sunucusundan ses ayarlarını değiştirmek veya SMS mesajları göndermek için komutlar alabilir; bu, kötü amaçlı yazılımı daha fazla yaymak amacıyla oltalama mesajları göndermek için kullanılabilir.
McAfee'nin araştırması, SpyAgent kampanyasının operatörlerinin sunucuları için yeterli güvenlik önlemleri almadığını ortaya çıkardı ve bu durum araştırmacıların yönetici paneli sayfalarına ve kurbanlardan çalınan verileri içeren dosyalara erişmesine olanak tanıdı. Bu erişim, kötü amaçlı yazılımın birçok kullanıcıyı başarıyla tehlikeye attığını doğruladı.
Çalınan görüntüler, sunucu tarafında işlenir ve OCR için taranır; sonuçlar, cüzdan kaçırma saldırılarında verimli bir şekilde yönetim ve anında kullanım için yönetici panelinde düzenlenir.
Android cihazlardaki bu yeni tehdide karşı korunmak için kullanıcılar, Google Play Store dışındaki kaynaklardan uygulama yüklemekten kaçınmalıdır; çünkü bu tür kaynaklar genellikle kötü amaçlı yazılım dağıtmak için kullanılır. Ayrıca, APK indirme bağlantılarına yönlendiren SMS mesajlarını dikkate almamalı ve uygulamanın ana işlevleri için gereksiz görünen izinleri iptal etmelidir.
Ayrıca, kötü amaçlı yazılım olarak işaretlenen uygulamaları tespit etmek için düzenli olarak Google Play Protect taramaları yapmak da önerilmektedir.