280 приложений для Android содержат криптостилер SpyAgent

Исследователи из компанииMcAfeeобнаружилиболее 280 вредоносных приложений дляAndroid, использующих технологию оптического распознавания символов (OCR) для кражи криптовалютных данных. Объединённые общим названием SpyAgent, эти приложения искусно маскируются под официальные сервисы банков, государственных услуг и популярных платформ, таких как стриминговые сервисы и приложения для управления коммунальными платежами, пишет Securitylab.

Злоумышленники, распространяя приложения через фишинговые СМС-сообщения и вредоносные сайты, активно собирают данные с заражённых устройств, включая контакты, текстовые сообщения и изображения, хранящиеся в памяти телефона. Примечательно, что все выявленные приложения никогда не распространялись через Google Play.

Главной особенностью этой кампании стало использование OCR для извлечения криптовалютных кошельков, данные которых часто хранятся в виде простых скриншотов. Многие кошельки защищены с помощью мнемонических фраз — случайного набора слов, который легче запомнить, чем сложные приватные ключи. Эти фразы злоумышленники преобразуют в текст с помощью OCR.

Исследователь СангРиол Рю, работающий в McAfee и, собственно, обнаруживший кампанию SpyAgent, смог получить доступ к серверам, куда отправлялись украденные данные. Этого удалось достичь благодаря ошибкам в настройках безопасности вредоноса. Среди украденной информации были изображения кошельков и связанные с ними мнемонические фразы, что указывает на целенаправленную атаку на криптовалютные активы пользователей.

Для обработки похищенных данных злоумышленники используют технологии Python и Javascript. Изображения с устройствами жертв проходят через процесс распознавания символов, после чего текст структурируется и управляется через административную панель. Это демонстрирует высокий уровень профессионализма хакеров.

Приложения регулярно обновлялись, чтобы улучшить маскировку своей вредоносной деятельности. В последней версии они начали использовать WebSockets для связи с серверами управления, что затруднило их обнаружение антивирусными программами. Также злоумышленники применяют методы обфускации кода, что делает его анализ сложнее.

Хотя на данный момент большинство заражённых SpyAgent приложений сконцентрировано в Южной Корее, есть признаки расширения кампании на Великобританию. Это указывает на то, что злоумышленники стремятся расширить географию атак, адаптируя приложения для разных регионов и пользователей.