Как вредоносная программа SpyAgent использует OCR для кражи ключей восстановления криптокошелька

SpyAgent — это новая форма вредоносного программного обеспечения, которое использует оптическое распознавание символов (OCR) для извлечения конфиденциальных данных, в частности ключей восстановления криптокошелька, из изображений, хранящихся на компьютерах и мобильных телефонах.

SpyAgent работает незаметно, обходя традиционные методы обнаружения вредоносных программ, и представляет серьезную угрозу для держателей криптовалют.

Сканируя скриншоты или фотографии с помощью OCR, SpyAgent может украсть ключи восстановления, предоставив злоумышленникам полный доступ к криптовалюте жертвы.

Он нацелен в основном на пользователей из Южной Кореи, был обнаружен специалистами по кибербезопасности McAfee в более чем 280 мошеннических приложениях и, как полагают, переместился в Соединенное Королевство.

Что, если ваш ключ восстановления криптокошелька — самая важная защита ваших цифровых активов — может быть украден просто путем создания снимка экрана? Звучит тревожно, не так ли? Именно это и делает вредоносная программа SpyAgent, используя оптическое распознавание символов (OCR), чтобы превратить, казалось бы, безобидные изображения в золотую жилу для хакеров.

С этой передовой вредоносной техникой SpyAgent теперь является одной из самых опасных угроз для держателей криптовалюты. Защищены ли ваши криптокошельки от этого высокочувствительного вредоносного ПО?

Давайте разберемся, как работает вредоносная программа SpyAgent, и узнаем, как защитить свой кошелек от подобных угроз.

SpyAgent — это не просто заурядное вредоносное ПО. SpyAgent — это сложная и высокоцелевая форма вредоносного ПО, предназначенная для кражи криптовалюты. В отличие от традиционных вредоносных программ, которые используют такие методы, как регистрация нажатий клавиш или фишинг, SpyAgent отличается тем, что использует технологию оптического распознавания символов (OCR) для сбора конфиденциальной информации от ничего не подозревающих пользователей.

Что такое OCR?

OCR обычно используется в легальном программном обеспечении для преобразования изображений или отсканированных документов в машиночитаемый текст. Однако SpyAgent использует эту технологию для сканирования снимков экрана, изображений или документов, хранящихся на вашем устройстве, в попытке найти фразы восстановления криптокошелька или закрытые ключи. Эти ключи фраз восстановления являются золотым билетом для доступа к вашим криптокошелькам, что делает их главными целями для хакеров.

После того как вредоносное ПО SpyAgent обнаруживает и извлекает текст, оно может быстро передать ваши ключи восстановления кошелька злоумышленникам, фактически предоставляя им полный контроль над вашей криптовалютой. Особенно опасным SpyAgent делает его способность обходить обычные средства защиты от вредоносных программ, которые часто сосредоточены на блокировке попыток фишинга или отслеживании нажатий клавиш. Выполняя поиск изображений вместо вводимого текста, SpyAgent обнаруживает тревожную уязвимость в способе, которым пользователи хранят информацию о восстановлении кошелька.

SpyAgent использует хитрые и обманчивые методы для кражи фраз восстановления криптовалютного кошелька. Фраза восстановления криптовалюты, также известная как сид фраза или резервная фраза, представляет собой ряд случайно сгенерированных слов (обычно 12, 18 или 24 слова), которые действуют как главный ключ для доступа к криптовалютному кошельку.

Эта фраза генерируется при первом создании кошелька и используется для восстановления кошелька и средств в случае потери доступа к устройству или закрытым ключам.

Поскольку криптографические фразы сложно запомнить, люди склонны сохранять или распечатывать их, а иногда, чтобы облегчить задачу, некоторые делают снимок экрана с фразой восстановления и сохраняют его как изображение на своем мобильном устройстве или синхронизируют эти изображения со своими облачными фотоальбомами.

Вот тут-то и вступает в действие вредоносная программа SpyAgent.

Вот как это работает:

• Проникновение: SpyAgent может заразить ваше устройство через фишинговые письма, вредоносные веб-сайты или подозрительные загрузки. Попав в систему, он работает скрытно, избегая обнаружения традиционными средствами защиты от вредоносных программ.
• Сканирование изображений: Вместо того, чтобы сосредоточиться на прямом взломе программного обеспечения кошелька, SpyAgent ищет изображения и скриншоты, хранящиеся на устройстве. Многие люди неосознанно хранят свои фразы восстановления криптокошелька или закрытые ключи в виде изображений для легкого доступа — уязвимость, которую использует SpyAgent.
• Технология OCR: Здесь все становится техническим. SpyAgent использует OCR для сканирования этих изображений и извлечения любого видимого текста, например, фраз для восстановления кошелька или закрытых ключей. Технология OCR обычно используется в легальном программном обеспечении для преобразования печатного или рукописного текста в цифровые данные, но SpyAgent использует эту функцию в качестве оружия для кражи критически важной информации.
• Извлечение и кража данных: как только SpyAgent обнаруживает и извлекает ключи восстановления, он немедленно передает данные злоумышленнику. С помощью этих ключей злоумышленник получает полный доступ к криптокошельку, что позволяет ему переводить, продавать или красть средства без дальнейшего вмешательства.
• Необнаруживаемая операция: поскольку SpyAgent использует OCR для извлечения данных из изображений, а не для захвата введенных данных, он может обходить стороной большинство программ защиты от вредоносных программ, что делает его более скрытной и сложной угрозой.

Этот метод кражи криптоключей подчеркивает растущую изощренность вредоносного ПО, демонстрируя важность безопасных методов хранения, таких как использование аппаратных кошельков и зашифрованных резервных копий, для защиты цифровых активов.

На  заметку: Хранение ключей восстановления криптокошелька в виде изображений на телефоне или в облачном хранилище может сделать вас уязвимыми для хакеров. Хранение этих конфиденциальных ключей в сети увеличивает риск кибератак и вредоносного ПО. Для повышения безопасности всегда рекомендуется хранить ключи восстановления в автономном режиме, например, в аппаратном кошельке или на защищенном нецифровом носителе.

McAfee Labs изначально обнаружила криптоугрозу SpyAgent OCR при анализе приложений Android, занимающихся несанкционированным сбором данных. Эти вредоносные приложения маскировались под легитимное программное обеспечение — банковские приложения, коммунальные службы, правительственные платформы и т. д. — и после установки они незаметно делали снимки экрана и изображения с устройства.

В ходе своего расследования McAfee обнаружила более 280 поддельных приложений, нацеленных на пользователей в Южной Корее с начала 2024 года. Эти приложения отправляли изображения, содержащие ключи восстановления криптокошелька, на удаленные серверы, где злоумышленники использовали технологию OCR для извлечения конфиденциальной информации. Исследователи McAfee обнаружили, что основной целью вредоносного ПО было получение мнемонических фраз восстановления из криптовалютных кошельков, что свидетельствует о прямой направленности на слив криптоактивов.

По данным McAfee, вредоносные приложения (вредоносное ПО) распространялись через фишинговые письма, замаскированные под официальные приложения банков, государственных учреждений, сервисов потокового вещания телевидения, коммунальных служб и т. д. После установки это вредоносное ПО отправляет текстовые сообщения, контакты, изображения и т. д. с устройства на удаленный сервер, контролируемый злоумышленником.

Ниже представлен краткий обзор основных выводов о том, как развивался SpyAgent и как он продолжает атаковать учетные данные криптовалют:

• Обзор вредоносного ПО: SpyAgent использует технологию OCR для извлечения фраз восстановления криптовалютного кошелька из изображений, хранящихся на устройствах Android. Эти фразы восстановления, обычно длиной 12–24 слова, имеют решающее значение для восстановления доступа к криптовалютным кошелькам.
• Распространение: McAfee выявила не менее 280 приложений Android, распространяющих это вредоносное ПО, в основном за пределами Google Play. Эти приложения имитируют легитимные сервисы, включая правительственные приложения, сайты знакомств и платформы контента для взрослых.
• Целевые регионы: вредоносное ПО в основном нацелено на пользователей в Южной Корее, но показало признаки расширения в Великобританию. Также есть признаки того, что в разработке находится потенциальный вариант для iOS.
• Кража данных: после заражения SpyAgent собирает конфиденциальную информацию, в том числе:

1. Список контактов жертвы для дальнейшего распространения вредоносного ПО через SMS
2. Входящие SMS-сообщения, особенно содержащие одноразовые пароли (OTP)
3. Изображения, хранящиеся на устройстве для сканирования с помощью OCR.

• Управление и контроль: вредоносная программа может получать команды для управления настройками устройства или отправки SMS-сообщений, потенциально для распространения дальнейших попыток фишинга.
• Угрозы безопасности: инфраструктура, используемая операторами SpyAgent, демонстрировала ненадлежащие методы обеспечения безопасности, что позволило исследователям получить доступ к украденным данным и подтвердить количество жертв.
• Советы по профилактике: Чтобы оставаться в безопасности, избегайте установки приложений из-за пределов Google Play, будьте осторожны с подозрительными ссылками в SMS и тщательно управляйте разрешениями приложений. К счастью, Google Play Protect предлагает автоматическую защиту от известных вариантов таких вредоносных программ.

На  заметку: Отчет Chainalysis о криптовалютных преступлениях за середину года показал, что в 2024 году мошенничества, связанные с криптовалютами, стали все более недолговечными: средняя продолжительность жизни сократилась с 271 дня в 2020 году до всего 42 дней в 2024 году. Это показывает, что мошенники переходят к более быстрым и высокодоходным схемам вместо долгосрочных операций Понци, во многом из-за повышения осведомленности и усилий правоохранительных органов. Будьте осторожны с инвестиционными предложениями, которые звучат слишком хорошо, чтобы быть правдой.

Открытие SpyAgent подчеркивает необходимость усиления безопасности при управлении криптоактивами. Вот  несколько способов защиты против этой угрозы:

• Избегайте хранения фраз восстановления в виде изображений: хранение фразы восстановления в виде изображения на вашем устройстве делает вас мишенью для вредоносных программ на основе OCR формата SpyAgent.
• Используйте аппаратные кошельки: аппаратные кошельки представляют собой более безопасную альтернативу цифровому хранилищу, гарантируя, что ключи восстановления будут храниться в автономном режиме и вне доступа вредоносного программного обеспечения.
• Включите шифрование: всегда включайте шифрование на своих устройствах и в облачном хранилище для защиты конфиденциальной информации.

Приняв более жесткие меры безопасности, вы можете значительно снизить риск стать жертвой тактики SpyAgent. Будьте бдительны и защищайте свою криптовалюту как ценный актив.