Pericolo SpyAgent: Il Malware Android che Ruba le Tue Criptovalute con l'OCR

News
Visite: 961

Un nuovo tipo di malware per dispositivi Android, denominato SpyAgent, sta prendendo di mira gli utenti in Corea del Sud, con un'attenzione particolare verso le chiavi di recupero dei portafogli di criptovalute. Secondo un'analisi di McAfee Labs, il malware utilizza il riconoscimento ottico dei caratteri (OCR) per individuare e rubare le chiavi mnemoniche dagli utenti. Queste chiavi rappresentano una frase di recupero che permette agli utenti di riaccedere ai loro portafogli di criptovalute, e il loro furto potrebbe consentire ai malintenzionati di prendere il controllo dei fondi.

La campagna di malware

La campagna di malware si basa su applicazioni Android false, mascherate da app bancarie, governative, di streaming e utility apparentemente legittime, per ingannare gli utenti e indurli a installarle. Dal principio dell'anno sono state individuate fino a 280 applicazioni fasulle. Il processo inizia con SMS contenenti link infetti che spingono gli utenti a scaricare le app sotto forma di file APK ospitati su siti ingannevoli. Una volta installate, queste app richiedono permessi intrusivi per raccogliere dati dai dispositivi, tra cui contatti, messaggi SMS, foto e altre informazioni.

Capacità di SpyAgent

Uno degli aspetti più notevoli di SpyAgent è la sua capacità di sfruttare l'OCR per rubare le chiavi mnemoniche, elemento cruciale per l'accesso ai portafogli di criptovalute. L'accesso non autorizzato a queste chiavi potrebbe permettere ai cybercriminali di svuotare i fondi dei portafogli delle vittime. McAfee Labs ha rilevato che l'infrastruttura di comando e controllo (C2) del malware presentava gravi falle di sicurezza, consentendo la navigazione nella directory principale del sito senza autenticazione e lasciando esposti i dati raccolti dalle vittime.

Il server ospita anche un pannello amministrativo che funge da centro di comando per controllare in remoto i dispositivi infetti. La presenza di un dispositivo Apple iPhone con iOS 15.8.2 e lingua di sistema impostata su cinese semplificato ("zh") indica che il malware potrebbe prendere di mira anche gli utenti iOS. Originariamente, il malware comunicava con il suo server C2 tramite semplici richieste HTTP, ma ha recentemente adottato connessioni WebSocket per una comunicazione più efficiente e in tempo reale, rendendo più difficoltosa la rilevazione da parte degli strumenti di monitoraggio delle reti basati su HTTP.

Questo sviluppo segue di poco più di un mese l'esposizione di un altro trojan di accesso remoto per Android, CraxsRAT, da parte di Group-IB. Questo malware ha preso di mira gli utenti bancari in Malesia utilizzando siti di phishing. CraxsRAT è noto per le sue capacità di controllo remoto del dispositivo e spyware, inclusi keylogging, registrazione di telecamere, schermi e chiamate, portando al furto di credenziali e prelievi di fondi non autorizzati.

Pin It
, , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.