Gli esperti di McAfee hanno scoperto un nuovo malware Android, chiamato SpyAgent, progettato per rubare chiavi mnemoniche attraverso la scansione delle immagini sui dispositivi. Le chiavi mnemoniche, che sono frasi composte da 12 parole usate per recuperare i wallet di criptovaluta, sono un bersaglio preferito poiché offrono un’alternativa più facile da ricordare rispetto alle complesse chiavi private.
SpyAgent si maschera da app legittime, che vanno da servizi bancari e governativi a piattaforme di streaming e utility. Una volta installate, queste app false raccolgono e inviano segretamente dati sensibili come messaggi di testo, contatti e immagini a server remoti, distraggono l’utente con schermate di caricamento o errori fittizi per nascondere le loro vere intenzioni. McAfee ha identificato oltre 280 app coinvolte in questo schema, mirate principalmente agli utenti coreani dal gennaio 2024.
SpyAgent si diffonde principalmente tramite sofisticate campagne di phishing che utilizzano messaggi di testo e social media per inviare link dannosi. I messaggi spesso si spacciano per comunicazioni da enti affidabili, ingannando gli utenti a cliccare su link che conducono a siti web fasulli dall’aspetto autentico. Una volta cliccato il link, l’utente viene spinto a scaricare un file APK apparentemente innocuo, ma in realtà si tratta di software dannoso. Durante l’installazione, l’app richiede permessi per accedere a dati sensibili come SMS, contatti e archiviazione, giustificando queste richieste come necessarie per il funzionamento dell’app.
Una volta installato, SpyAgent comincia a rubare informazioni sensibili inviandole a server remoti controllati dagli aggressori. Il malware estrae contatti, intercetta SMS, carica tutte le foto del dispositivo e raccoglie informazioni sul dispositivo stesso. Questa intrusione permette agli aggressori di personalizzare i loro attacchi per massimizzare il danno.
Durante le indagini, è emerso che alcuni server di comando e controllo (C2) presentavano vulnerabilità che permettevano accessi non autorizzati. Questa falla ha rivelato maggiori dettagli sulle operazioni del malware, comprese le cartelle che contenevano dati sensibili come le foto rubate dalle vittime. Le pagine di amministrazione esposte mostravano liste di dispositivi infettati e opzioni di controllo, dimostrando un ampio e crescente impatto dell’attacco.
Il malware punta principalmente a sottrarre le frasi di recupero mnemoniche per wallet di criptovaluta, cercando di accedere ai fondi delle vittime. La gestione delle informazioni rubate avviene tramite un sofisticato sistema server-side basato su Python e JavaScript, con l’uso di tecniche di riconoscimento ottico dei caratteri (OCR) per estrarre dati dalle immagini.
Inizialmente, SpyAgent utilizzava semplici richieste HTTP per comunicare con il server C2, metodo facilmente rilevabile e bloccabile. Di recente, il malware ha adottato connessioni WebSocket per migliorare le interazioni in tempo reale e sfuggire ai controlli di sicurezza tradizionali. Anche le tecniche di offuscamento del codice sono state rafforzate, rendendo ancora più difficile il rilevamento da parte di software di sicurezza.
Recenti osservazioni mostrano che SpyAgent ha iniziato a diffondersi nel Regno Unito, segnalando un ampliamento dell’area di attacco e un adattamento delle tattiche per colpire nuovi gruppi di utenti con versioni localizzate del malware.
