Malware Android rouba frases de recuperação de carteira de criptomoedas
9 de Setembro de 2024

Um novo malware para Android, denominado SpyAgent, utiliza a tecnologia de reconhecimento óptico de caracteres (OCR) para roubar frases de recuperação de carteiras de criptomoedas a partir de screenshots armazenadas no dispositivo móvel.

Uma frase de recuperação de criptomoeda, ou frase-semente, consiste em uma série de 12 a 24 palavras que funcionam como uma chave de backup para uma carteira de criptomoeda.

Essas frases são usadas para restaurar o acesso à sua carteira de criptomoedas e a todos os seus fundos, caso você perca um dispositivo, dados sejam corrompidos ou deseje transferir sua carteira para um novo dispositivo.

Estas frases secretas são altamente visadas por atores de ameaças, pois, se conseguirem acesso a ela, podem usá-la para restaurar sua carteira em seus próprios dispositivos e roubar todos os fundos armazenados nela.

Como as frases de recuperação consistem de 12 a 24 palavras, são difíceis de memorizar.

Assim, as carteiras de criptomoedas instruem as pessoas a salvar ou imprimir as palavras e armazená-las em um local seguro.

Para facilitar, algumas pessoas tiram um screenshot da frase de recuperação e a salvam como uma imagem em seu dispositivo móvel.

Uma operação de malware descoberta pela McAfee foi rastreada até pelo menos 280 APKs distribuídos fora do Google Play, usando SMS ou posts maliciosos em mídias sociais.

Esse malware pode usar OCR para recuperar frases de recuperação de criptomoedas de imagens armazenadas em um dispositivo Android, tornando-se uma ameaça significativa.

Alguns dos aplicativos Android fingem ser serviços governamentais da Coreia do Sul e do Reino Unido, sites de namoro e sites de pornografia.

Embora a atividade tenha como alvo principal a Coreia do Sul, a McAfee observou uma expansão tentativa para o Reino Unido e sinais de que uma variante para iOS pode estar em desenvolvimento inicial.

Em julho de 2023, a Trend Micro revelou duas famílias de malware para Android, chamadas CherryBlos e FakeTrade, disseminadas via Google Play, que também usavam OCR para roubar dados de criptomoedas de imagens extraídas, indicando que essa tática está ganhando tração.

Uma vez infectado um novo dispositivo, o SpyAgent começa a enviar as seguintes informações sensíveis para seu servidor de comando e controle (C2):

Lista de contatos da vítima, provavelmente para distribuir o malware via SMS, originados de contatos confiáveis.
Mensagens SMS recebidas, incluindo aquelas que contêm senhas de uso único (OTPs).
Imagens armazenadas no dispositivo para uso em escaneamento OCR.
Informações genéricas do dispositivo, provavelmente para otimizar os ataques.

O SpyAgent também pode receber comandos do C2 para alterar as configurações de som ou enviar mensagens SMS, provavelmente usadas para enviar textos de phishing para distribuir o malware.

A McAfee descobriu que os operadores da campanha SpyAgent não seguiram práticas de segurança adequadas na configuração de seus servidores, permitindo que os pesquisadores acessassem-nos.

Páginas do painel administrativo, bem como arquivos e dados roubados das vítimas, estavam facilmente acessíveis, permitindo à McAfee confirmar que o malware fez várias vítimas.

As imagens roubadas são processadas e escaneadas por OCR no lado do servidor e, em seguida, organizadas no painel administrativo de acordo, para permitir uma gestão fácil e utilização imediata em ataques de sequestro de carteira.

Para mitigar esse risco no Android, é importante não instalar apps Android fora do Google Play, pois são comumente usados para distribuir malware.

Além disso, os usuários devem desconsiderar mensagens SMS que apontem para URLs de download de APK e revogar permissões perigosas que pareçam não relacionadas à funcionalidade principal do app.

Por fim, varreduras do Google Play Protect devem ser realizadas periodicamente para verificar a presença de apps detectados como malware.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...