Malware Android baru bernama SpyAgent menggunakan teknologi pengenalan karakter optik (OCR) untuk mencuri frasa pemulihan dompet mata uang kripto dari tangkapan layar yang disimpan di perangkat seluler.
Frasa pemulihan mata uang kripto, atau frasa awal, adalah serangkaian 12-24 kata yang berfungsi sebagai kunci cadangan untuk dompet mata uang kripto. Frasa ini digunakan untuk memulihkan akses ke dompet mata uang kripto Anda dan semua dananya jika Anda kehilangan perangkat, data rusak, atau Anda ingin mentransfer dompet Anda ke perangkat baru.
Frasa rahasia ini sangat dicari oleh para pelaku ancaman, karena jika mereka dapat memperoleh akses ke dalamnya, mereka dapat menggunakannya untuk memulihkan dompet Anda di perangkat mereka sendiri dan mencuri semua dana yang tersimpan di dalamnya.
Karena frasa pemulihan terdiri dari 12-24 kata, frasa tersebut sulit diingat, jadi dompet mata uang kripto memberi tahu orang-orang untuk menyimpan atau mencetak kata-kata tersebut dan menyimpannya di tempat yang aman. Untuk mempermudah, beberapa orang mengambil tangkapan layar frasa pemulihan dan menyimpannya sebagai gambar perangkat seluler mereka.
Operasi malware ditemukan oleh McAfee dilacak kembali ke sedikitnya 280 APK yang didistribusikan di luar Google Play menggunakan SMS atau kiriman media sosial yang berbahaya. Malware ini dapat menggunakan OCR untuk memulihkan frasa pemulihan mata uang kripto dari gambar yang disimpan di perangkat Android, menjadikannya ancaman yang signifikan.
Beberapa aplikasi Android berpura-pura diperuntukkan bagi layanan pemerintah Korea Selatan dan Inggris, situs kencan, dan situs pornografi.
Meskipun aktivitas tersebut terutama menargetkan Korea Selatan, McAfee telah mengamati adanya perluasan tentatif ke Inggris dan tanda-tanda bahwa varian iOS mungkin sedang dalam pengembangan awal.
Sumber: McAfee
Pada bulan Juli 2023, Trend Micro mengungkapkan dua keluarga malware Android bernama CherryBlos dan FakeTradetersebar melalui Google Play, yang juga menggunakan OCR untuk mencuri data mata uang kripto dari gambar yang diekstraksi, jadi taktik ini tampaknya semakin populer.
Ekstraksi data SpyAgent
Setelah menginfeksi perangkat baru, SpyAgent mulai mengirimkan informasi sensitif berikut ke server perintah dan kontrol (C2):
- Daftar kontak korban, kemungkinan untuk mendistribusikan malware melalui SMS yang berasal dari kontak tepercaya.
- Pesan SMS masuk, termasuk yang berisi kata sandi satu kali (OTP).
- Gambar yang disimpan pada perangkat untuk digunakan untuk pemindaian OCR.
- Informasi perangkat umum, mungkin untuk mengoptimalkan serangan.
SpyAgent juga dapat menerima perintah dari C2 untuk mengubah pengaturan suara atau mengirim pesan SMS, kemungkinan digunakan untuk mengirim teks phishing untuk mendistribusikan malware.
Sumber: McAfee
Infrastruktur yang terekspos
McAfee menemukan bahwa operator kampanye SpyAgent tidak mengikuti praktik keamanan yang tepat dalam mengonfigurasi server mereka, sehingga memungkinkan para peneliti memperoleh akses ke server tersebut.
Halaman panel admin, serta file dan data yang dicuri dari korban, dapat diakses dengan mudah, yang memungkinkan McAfee mengonfirmasi bahwa malware tersebut telah menelan banyak korban.
Sumber: McAfee
Gambar yang dicuri diproses dan dipindai dengan OCR di sisi server, kemudian diatur pada panel admin sesuai kebutuhan untuk memudahkan pengelolaan dan penggunaan langsung dalam serangan pembajakan dompet.
Sumber: McAfee
Untuk mengurangi risiko ini pada Android, penting untuk tidak memasang aplikasi Android di luar Google Play, karena aplikasi tersebut umumnya digunakan untuk mendistribusikan malware.
Lebih lanjut, pengguna harus mengabaikan pesan SMS yang menunjuk ke URL unduhan APK dan mencabut izin berbahaya yang tampaknya tidak terkait dengan fungsionalitas inti aplikasi.
Terakhir, pemindaian Google Play Protect harus dilakukan secara berkala untuk memeriksa aplikasi yang terdeteksi sebagai malware.
