一种名为SpyAgent 的新型 Android 恶意软件正在四处传播,并窃取屏幕截图。该恶意软件使用光学字符识别 (OCR) 技术,追踪通常存储在用户设备屏幕截图中的加密货币恢复短语。
以下是躲避子弹的方法。
攻击者拍摄(屏幕截图)
攻击总是从网络钓鱼开始。用户会收到短信,提示他们下载看似合法的应用程序。如果他们上钩并安装了该应用程序,SpyAgent恶意软件就会开始工作。
它的目标是什么?用于加密货币钱包的 12-24 个单词的恢复短语的屏幕截图。由于这些短语太长,不容易记住,用户通常会截取屏幕截图以备将来参考。如果攻击者破坏了这些屏幕截图,他们可以将加密钱包恢复到他们选择的设备上,从而窃取其中包含的所有数字货币。一旦资金消失,它们就消失了——加密货币协议的性质意味着交易完成后无法逆转。如果钱被发送到错误的地址,发送者必须要求收件人创建并完成退回交易。
如果用户截取他们的恢复短语的屏幕截图并被 SpyAgent 窃取,攻击者只需恢复钱包并将资金转移到他们选择的目的地。
据Coin Telegraph报道,该恶意软件已在韩国传播,受影响的 APK 超过 280 个。这些应用程序在官方 Google Play 商店之外分发,通常使用短信或社交媒体帖子来吸引用户兴趣。一些受感染的应用程序模仿韩国或英国的政府服务,而其他一些则看起来像是约会或成人内容应用程序。
还有迹象表明攻击者可能正准备将攻击范围扩大到英国,这反过来可能导致更广泛的攻击。虽然该恶意软件目前只针对 Android,但有迹象表明 iOS 版本可能正在开发中。
除了加密货币之外:偷偷窃取屏幕截图的潜在风险
虽然加密货币恢复短语是 SpyAgent 的首要任务,但使用 OCR 技术意味着任何图片都可能被盗。例如,如果商业设备有数据库或分析工具的用户名和密码的屏幕截图,公司资产可能面临风险。考虑一位可以访问多个安全服务的经理,每个服务都需要唯一的密码来帮助降低泄露风险。为了保证密码安全但仍可随时使用,我们好心的经理列出了一个清单,并截取了不同凭证组合的屏幕截图。因为他们相信他们的设备是安全的,所以公司正在使用多因素身份验证 (MFA)和安全单点登录 (SSO)等解决方案,他们不认为他们的屏幕截图存在风险。
然而,如果黑客说服他们点击并下载受感染的应用程序,攻击者就可以查看和窃取已保存的图像数据,然后使用这些数据“合法地”获取帐户访问权限。
另一个潜在风险来自个人数据。用户可能拥有个人健康或财务数据的屏幕截图,这使他们面临数据泄露和身份欺诈的风险。他们还可能拥有业务合作伙伴或高管的机密联系方式,从而为另一轮网络钓鱼攻击打开大门。
这种基于图片的入侵方式给安全团队带来了两个问题。首先是检测所需的时间。IBM 2024 年数据泄露成本报告指出,企业平均需要 258 天才能检测并控制事件。但这个数字只有在安全措施全力以赴的情况下才适用。如果移动设备因用户操作而受到攻击,而恶意软件的唯一目的是查找和窃取屏幕截图,那么这个问题可能会被忽视更长时间,尤其是如果攻击者等待时机的话。
与此同时,一旦犯罪分子采取行动,损失可能非常巨大。利用窃取的凭证,攻击者可以访问关键服务并锁定帐户所有者。从那里,他们可以捕获和窃取大量 IT 系统和服务中的数据。虽然这种直接行动会提醒 IT 团队,但安全响应自然是被动的,这意味着公司无法避免攻击;他们只能减轻损失。
躲避子弹
这里的信息很简单:如果它在你的手机上,它就永远不会完全安全。加密恢复密码、公司登录名和密码或个人数据(如社会安全号码或银行账户详细信息)的屏幕截图是攻击者的宝贵目标。
躲避风险也意味着不上当——不要回复未经请求的短信,只通过经批准的应用商店下载应用。这也意味着要采取预防措施。设备始终联网的特性意味着完全安全只是一种假象。设备上存储的数据越少越好。
用户可以通过坚持使用官方的 Google Play 商店来保证设备的安全。在 Play 商店之外下载的应用程序无法保证其安全性。有些是良性应用程序,未通过 Google 的筛选过程。其他则是包含隐藏文件或命令的官方应用程序的近似副本。有些只是安装恶意软件和连接命令和控制 (C2) 服务器的工具。
此外,企业还可以从部署安全自动化和人工智能安全工具中受益。这些解决方案能够捕获和关联看似良性但却是集体攻击指标 (IoC) 的行为模式。IBM 数据指出,广泛使用人工智能和自动化的企业能够比全球平均水平快 98 天检测和遏制漏洞。
SpyAgent 恶意软件目前正在韩国潜伏,窃取截图以获取加密恢复密码,并使公司面临更大规模数据泄露的风险。
最好的防御方法是什么?保留屏幕截图、怀疑非品牌应用程序以及部署高级智能解决方案。
原文始发于微信公众号(河南等级保护测评):SpyAgent 恶意软件通过窃取屏幕截图来攻击加密钱包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论