新型 Android 恶意软件 SpyAgent 瞄准具有图像识别功能的加密钱包

一种新发现的名为“SpyAgent”的 Android 恶意软件正在利用先进的图像识别技术窃取敏感的加密货币凭证。

该恶意软件由 McAfee 的移动研究团队发现，通过扫描受感染设备上的图像来获取用于恢复加密钱包的助记键。

这些 12 个单词的短语是传统复杂私钥的更用户友好的替代方案，因此窃取它们会造成严重的安全风险。

SpyAgent 恶意软件会伪装成合法应用程序，包括银行、政府服务和公用事业。

安装后，这些虚假应用程序会访问并窃取用户的短信、联系人和图片，并将其上传到网络犯罪分子控制的远程服务器。

为了避免被发现，这些应用程序会显示欺骗性的加载屏幕和重定向，以隐藏其恶意活动。

自 2024 年 1 月以来，McAfee 已检测到与此活动相关的 280 多个假冒应用程序，主要针对韩国用户。

此次攻击活动的一个关键方面是使用光学字符识别 (OCR) 技术分析被盗图像以获取助记键。

这种方法表明了攻击者的主要目标：通过从受害者的图像中提取恢复短语来获取加密货币钱包的访问权限。

SpyAgent 分发

该恶意软件通过网络钓鱼活动进行传播，通常通过短信或社交媒体消息进行，诱骗用户下载恶意 APK 文件。

这些消息通常模仿受信任的组织，敦促用户下载请求敏感权限（例如访问联系人、短信和设备存储）的虚假应用程序。

一旦授予这些权限，SpyAgent 便能够窃取敏感数据并将其传输到其命令和控制 (C2) 服务器。

McAfee 的调查显示，该恶意软件的主要目的是获取加密货币钱包的助记词恢复短语，从而使攻击者能够控制受害者的加密资产。

该恶意软件的活动分为几个步骤：

• 收集并将用户的完整联系人列表发送给攻击者，以进行进一步的网络钓鱼攻击。

• 收到的消息（SMS）可能包含双因素身份验证码或其他私人数据，这些消息会被捕获并传输。

• 照片，特别是包含助记符或其他敏感信息的照片，被上传到攻击者的服务器。

• 收集有关受害者设备的信息，例如操作系统版本，这有助于攻击者改进他们的策略。

窥探被盗数据

在调查过程中，McAfee 研究人员发现C2 服务器存在严重的安全漏洞，这些服务器配置不当，导致敏感数据暴露。

这些服务器存储了从受害者那里收集的个人数据，包括“上传”目录中的照片，这些数据由不同的恶意软件活动组织起来。

这些服务器还设有管理面板，显示受感染设备的列表及其相应的操作，包括更改设备设置或发送短信的命令。

最初，SpyAgent 依靠 HTTP 与其 C2 服务器进行通信，但后来逐渐使用 WebSocket 连接，这使得安全工具更难检测和拦截。

该恶意软件还实现了复杂的混淆技术，例如代码加密和函数重命名，这进一步增加了检测难度。

此次攻击活动始于韩国，目前已扩大范围，目标已转向英国用户。

地域扩张以及日益复杂的网络钓鱼策略表明，威胁正在不断增长且持续存在。

防守技巧

为了防范 SpyAgent 和类似的恶意软件，用户应采取以下预防措施：

• 警惕那些催促您下载应用程序的未经请求的信息，尤其是那些承诺提供银行或政府服务的信息。

• 仅从 Google Play Store 等官方平台下载应用程序。

• 密切关注应用程序请求的权限。警惕那些要求大量访问个人数据或设备设置的应用程序。

• 安装信誉良好的移动安全软件，或使用 Google Play Protect 执行定期设备扫描。

原文始发于微信公众号（网络研究观）：新型 Android 恶意软件 SpyAgent 瞄准具有图像识别功能的加密钱包