Mobile AppSec World

Forwarded from SecAtor

Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве.

Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.

Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.

Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.

Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях.

Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.

Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании.

При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.

После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве.

SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.

Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.

Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).

При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket.

Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.

Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play.

Так что можно смело констатировать, что такая тактика начинает набирать популярность.

McAfee Blog

New Android SpyAgent Campaign Steals Crypto Credentials via Image Recognition | McAfee Blog

Authored by SangRyol Ryu Recently, McAfee’s Mobile Research Team uncovered a new type of mobile malware that targets mnemonic keys by scanning for images

www.tgoop.com/mobile_appsec_world/983

2.0K viewsYury Shabalin, Sep 9, 2024 at 16:57

Исследователи McAfee обнаружили новый тип мобильного ПО SpyAgent для Android, реализующую технологию оптического распознавания символов OCR для кражи фраз мнемонических ключей из изображений на устройстве.

Мнемонический ключ — это, по сути, фраза из 12-24 слов, которая обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа.

Такие секретные фразы являются крайне востребованной целью для злоумышленников, поскольку получение к ним доступа позволит им завладеть как кошельком, так и средствами на нем.

Поскольку такой ключ трудно запомнить, его часто скриншотят и хранят в изображениях на мобильном устройстве, нежели чем отдельно выписанную фразу на бумажке в безопасном месте.

Замеченная McAfee вредоносная кампания затронула как минимум 280 APK, распространяемых за пределами Google Play с помощью SMS или вредоносных сообщений в социальных сетях.

Некоторые из заряженных приложений для Android выдают себя за государственные сервисы, сайты знакомств и порноресурсы.

Основной таргет пришелся на Южную Корею, но McAfee заметила планвное расширение географии атака в сторону Великобритании.

При этом выявлены также и признаки того, что версия для iOS находится на стадии разработки.

После заражения нового устройства SpyAgent начинает отправлять на свой C2 следующую конфиденциальную информацию: список контактов (для дальнейшего распространения), входящие SMS с OTP, пригодные для OCR изображения, а также общую информацию об устройстве.

SpyAgent также способна получать команды с C2 для изменения настроек звука или отправки SMS-сообщений, которые, вероятно, используются для рассылки фишинговых текстов с целью распространения вредоносного ПО.

Как удалось выяснить McAfee, операторы SpyAgent особо не соблюдали надлежащие меры безопасности при настройке своих серверов, что позволило исследователям получить к ним доступ.

Изучив панель администратора, а также украшенные файлы и данные, McAfee смогли идентифицировать ряд жертв вредоносного ПО, одной из которых оказалось устройство Apple iPhone c iOS 15.8.2 с системным языком, установленным на упрощенный китайский («zh»).

При этом если изначально вредоносное ПО взаимодействовало со своим C2 посредством простых HTTP-запросов, то последняя версия использует соединения WebSocket.

Украденные изображения обрабатываются и сканируются с помощью OCR на стороне сервера, а затем соответствующим образом организуются на панели администратора, что обеспечивает оперативность использования в атаках.

Следует отметить, что технология OCR не нова в киберподполье, в июле 2023 Trend Micro находила два семейства вредоносных ПО для Android под названием CherryBlos и FakeTrade, распространявшихся через Google Play.

Так что можно смело констатировать, что такая тактика начинает набирать популярность.

BY Mobile AppSec World