Un nouveau malware Android nommé SpyAgent utilise la technologie de reconnaissance optique de caractères (OCR) pour voler des phrases de récupération de portefeuille de crypto-monnaie à partir de captures d’écran stockées sur l’appareil mobile.
Une phrase de récupération de crypto-monnaie, ou phrase de départ, est une série de 12 à 24 mots qui agit comme une clé de sauvegarde pour un portefeuille de crypto-monnaie. Ces phrases sont utilisées pour restaurer l’accès à votre portefeuille de crypto-monnaie et à tous ses fonds en cas de perte d’un appareil, de corruption des données ou de transfert de votre portefeuille vers un nouvel appareil.
Ces phrases secrètes sont très recherchées par les acteurs de la menace, car s’ils peuvent y accéder, ils peuvent l’utiliser pour restaurer votre portefeuille sur leurs propres appareils et voler tous les fonds qui y sont stockés.
Comme les phrases de récupération sont de 12 à 24 mots, elles sont difficiles à retenir, donc les portefeuilles de crypto-monnaie disent aux gens d’enregistrer ou d’imprimer les mots et de les stocker dans un endroit sûr. Pour faciliter les choses, certaines personnes prennent une capture d’écran de la phrase de récupération et l’enregistrent en tant qu’image de leur appareil mobile.
Une opération malveillante découverte par McAfee a été retracée jusqu’à au moins 280 APK distribués en dehors de Google Play à l’aide de SMS ou de publications malveillantes sur les réseaux sociaux. Ce malware peut utiliser l’OCR pour récupérer des phrases de récupération de crypto-monnaie à partir d’images stockées sur un appareil Android, ce qui en fait une menace importante.
Certaines des applications Android prétendent être destinées aux services gouvernementaux sud-coréens et britanniques, aux sites de rencontres et aux sites pornographiques.
Bien que l’activité ait principalement ciblé la Corée du Sud, McAfee a observé une tentative d’expansion au Royaume-Uni et des signes qu’une variante iOS pourrait être en développement précoce.
En juillet 2023, Trend Micro a révélé deux familles de logiciels malveillants Android nommées CherryBlos et FakeTrade, diffusées via Google Play, qui utilisaient également l’OCR pour voler des données de crypto-monnaie à partir d’images extraites, de sorte que cette tactique semble gagner du terrain.
Extraction de données d’agent espion
Une fois qu’il infecte un nouvel appareil, l’agent espion commence à envoyer les informations sensibles suivantes à son serveur de commande et de contrôle (C2):
- Liste de contacts de la victime, susceptible de distribuer le malware via SMS provenant de contacts de confiance.
- Messages SMS entrants, y compris ceux contenant des mots de passe à usage unique (OTP).
- Images stockées sur l’appareil à utiliser pour la numérisation OCR.
- Informations génériques sur l’appareil, susceptibles d’optimiser les attaques.
SpyAgent peut également recevoir des commandes du C2 pour modifier les paramètres sonores ou envoyer des SMS, probablement utilisés pour envoyer des textes de phishing pour distribuer le logiciel malveillant.
Infrastructure exposée
McAfee a constaté que les opérateurs de la campagne SpyAgent n’avaient pas suivi les bonnes pratiques de sécurité lors de la configuration de leurs serveurs, permettant aux chercheurs d’y accéder.
Les pages du panneau d’administration, ainsi que les fichiers et données volés aux victimes, étaient facilement accessibles, permettant à McAfee de confirmer que le logiciel malveillant avait fait plusieurs victimes.
Les images volées sont traitées et numérisées par OCR côté serveur, puis organisées sur le panneau d’administration en conséquence pour permettre une gestion facile et une utilisation immédiate dans les attaques de détournement de portefeuille.
Pour atténuer ce risque sur Android, il est important de ne pas installer d’applications Android en dehors de Google Play, car elles sont couramment utilisées pour distribuer des logiciels malveillants.
De plus, les utilisateurs doivent ignorer les messages SMS pointant vers les URL de téléchargement d’APK et révoquer les autorisations dangereuses qui semblent sans rapport avec les fonctionnalités de base de l’application.
Enfin, des analyses Google Play Protect doivent être effectuées périodiquement pour rechercher les applications qui ont été détectées comme des logiciels malveillants.