Veszélyben vannak a kriptovaluta pénztárcák
A SpyAgent nevű új androidos kártevő optikai karakterfelismerést (OCR) használ a kriptovaluta pénztárca helyreállítási kifejezések (recovery phrase) ellopására a mobiltelefonokon tárolt képernyőképekből.
A kriptovaluta helyreállítási kifejezés egy hosszú, 12-24 szóból álló sorozat, amely a kriptovaluta pénztárca biztonsági kulcsaként működik. Ezek a kifejezések arra szolgálnak, hogy visszaállítsák a hozzáférést a kriptovaluta pénztárcához abban az esetben, ha elveszítünk egy eszközt, megsérülnek az adatok, vagy át szeretnénk helyezni a pénztárcát egy új eszközre.
Ezeket a titkos kifejezéseket keresik illetéktelenek, hiszen ha hozzáférhetnek, akkor saját eszközeiken visszaállíthatják más pénztárcáját és ellophatják a benne tárolt összes pénzt.
A helyreállítási kifejezések tipikusan 12-24 szóból állnak, ezért nehéz megjegyezni őket, és emiatt a kriptovaluta pénztárcák azt javasolják a felhasználóknak, hogy mentsék el, vagy nyomtassák ki a szavakat és tárolják biztonságos helyen. Ennek megkönnyítése érdekében egyesek képernyőképet készítenek a helyreállítási kifejezésről és elmentik azt az eszközükön képként.
A McAfee által felfedezett rosszindulatú program legalább 280 Android alkalmazásra vezethető vissza, amelyeket a Google Playen kívül SMS-ekkel vagy rosszindulatú közösségimédia bejegyzésekkel terjesztettek.
Ez a rosszindulatú program az OCR segítségével képes kinyerni a képekről a kriptovaluta helyreállítási kifejezéseket, ami komoly veszélyt jelent.
Bár a tevékenység főként Dél-Koreát célozta meg, a McAfee terjeszkedést figyelt meg az Egyesült Királyságban és arra utal, hogy az iOS-változat korai fejlesztés alatt áll.
2023 júliusában a Trend Micro felfedte a CherryBlos és a FakeTrade nevű, a Google Playen keresztül terjesztett két androidos rosszindulatú programcsaládot, amelyek szintén OCR-t használtak kriptovaluta adatok ellopására képekről, szóval várható, hogy ez a megoldás egyre elterjedtebb lesz.
Amint megfertőz egy új eszközt, a SpyAgent a bizalmas információkat elkezdi küldeni illetékteleneknek, beleértve a bejövő SMS-eket, egyszeri jelszavakat (OTP) is.
De elküldi a készüléken tárolt képeket az OCR szkenneléshez és parancsokat is fogadhat a hangbeállítások módosítására, vagy SMS-ek küldésére, amelyek valószínűleg adathalász üzeneteket küldenek a kártevő terjesztésére.
