Новый образец вредоносной программы для Android, получивший имя SpyAgent, задействует технологию оптического распознавания символов (optical character recognition, OCR) для кражи аутентификационных данных от криптовалютных кошельков.
В частности, SpyAgent может вытаскивать фразы для восстановления доступа к кошелькам из скриншотов, сохранённых на мобильных устройствах.
Такие фразы, как правило, содержат от 12 до 24 слов и применяются в качестве запасного метода аутентификации на случай, если пользователь забыл пароль, потерял основное устройство или просто хочет перевести свои средства на новый девайс.
Именно поэтому фразы для восстановления доступа к криптокошелькам так интересуют киберпреступников, ведь с их помощью они могут без особого труда выкрасть цифровую валюту жертвы.
В новой вредоносной кампании, на которую указали специалисты McAfee, злоумышленники распространяют как минимум 280 вредоносных APK на сторонних площадках.
В качестве основных векторов используются СМС-сообщения и посты в социальных сетях. Если SpyAgent найдёт на устройстве медиафайлы, на которых запечатлены фразы для восстановления доступа, в дело вступает OCR для распознавания символов и извлечения аутентификационной информации.
Помимо этого, вредоносное приложение отправляет на командный сервер (C2) следующие данные:
- список контактов (видимо, для дальнейшего распространения через СМС-сообщения);
- входящие текстовые сообщения, включая содержащие одноразовые коды (OTP);
- сохранённые на устройстве изображения;
- общую информацию о девайсе.
