Da un team di ricercatori di sicurezza arriva un nuovo allarme relativo ad un gruppo di applicazioni Android pericolose e dietro le quali si nasconde un malware chiamato SpyAgent.

Il malware in questione utilizza la tecnologia OCR  per rubare le frasi di recupero del portafoglio di criptovalute dagli screenshot memorizzati sul dispositivo mobile.

Queste frasi, composte una serie di 12-24 parole, fungono da chiave di backup, ossia consentono di ripristinare l’accesso al proprio portafoglio di criptovalute e a tutti i relativi fondi nel caso in cui si dovesse perdere un dispositivo.

Avere accesso a queste frasi consente ad un malintenzionato di utilizzarle per ripristinare il portafoglio della vittima sui propri dispositivi e rubare tutti i fondi in esso contenuti.

Cosa sappiamo di questo nuovo malware Android

Stando a quanto è stato scoperto da un team di ricercatori di McAfee, ci sono circa 280 applicazioni Android, distribuite al di fuori del Google Play Store, che nascondono il pericoloso malware SpyAgent, che ha come obiettivo quello di rubare queste frasi segrete, in modo da consentire il furto delle criptovalute delle vittime.

Al momento le segnalazioni riguardano prevalentemente la Corea del Sud, anche se pare ci siano stati dei casi pure nel Regno Unito.

Dopo avere infettato un nuovo dispositivo, SpyAgent inizia a inviare al suo server di comando e controllo tuta una serie di informazioni sensibili, come l’elenco dei contatti della vittima (probabilmente viene utilizzato per distribuire il malware tramite SMS provenienti da contatti fidati), i messaggi SMS in arrivo (compresi quelli che contengono le password monouso), le immagini memorizzate sul dispositivo da utilizzare per la scansione OCR e le informazioni generiche sul dispositivo (probabilmente usate per ottimizzare gli attacchi).

Questi i dati delle app in questione:

SHA256 Hash(es):

  • 5b634ac2eecc2bb83c0403edba30a42cc4b564a3b5f7777fe9dada3cd87fd761
  • 4cf35835637e3a16da8e285c1b531b3f56e1cc1d8f6586a7e6d26dd333b89fcf
  • 3d69eab1d8ce85d405c194b30ac9cc01f093a0d5a6098fe47e82ec99509f930d
  • 789374c325b1c687c42c8a2ac64186c31755bfbdd2f247995d3aa2d4b6c1190a
  • 34c2a314dcbb5230bf79e85beaf03c8cee1db2b784adf77237ec425a533ec634
  • f7c4c6ecbad94af8638b0b350faff54cb7345cf06716797769c3c8da8babaaeb
  • 94aea07f38e5dfe861c28d005d019edd69887bc30dcc3387b7ded76938827528
  • 1d9afa23f9d2ab95e3c2aecbb6ce431980da50ab9dea0d7698799b177192c798
  • 19060263a9d3401e6f537b5d9e6991af637e1acb5684dbb9e55d2d9de66450f2
  • 0ca26d6ed1505712b454719cb062c7fbdc5ae626191112eb306240d705e9ed23
  • d340829ed4fe3c5b9e0b998b8a1afda92ca257732266e3ca91ef4f4b4dc719f8
  • 149bd232175659434bbeed9f12c8dd369d888b22afaf2faabc684c8ff2096f8c
  • f9509e5e48744ccef5bfd805938bf900128af4e03aeb7ec21c1e5a78943c72e7
  • 26d761fac1bd819a609654910bfe6537f42f646df5fc9a06a186bbf685eef05b
  • 0e778b6d334e8d114e959227b4424efe5bc7ffe5e943c71bce8aa577e2ab7cdb
  • 8bbcfe8555d61a9c033811892c563f250480ee6809856933121a3e475dd50c18
  • 373e5a2ee916a13ff3fc192fb59dcd1d4e84567475311f05f83ad6d0313c1b3b
  • 7d346bc965d45764a95c43e616658d487a042d4573b2fdae2be32a0b114ecee6
  • 1bff1823805d95a517863854dd26bbeaa7f7f83c423454e9abd74612899c4484
  • 020c51ca238439080ec12f7d4bc4ddbdcf79664428cd0fb5e7f75337eff11d8a

Domain(s):

  • ahd.lat 
  • allsdy999.org 
  • etr.lat 
  • gf79.org 
  • goodapps.top 
  • gov24.me 
  • gov24.top 
  • krgoodapp.top 
  • krgov24.top 
  • like1902.xyz 
  • make69.info 
  • messtube999.info 
  • mtube888.info 
  • mylove777.org 
  • oktube999.info 
  • top1114.online 
  • ytube888.info

Il consiglio per evitare brutte sorprese è scaricare le applicazioni Android soltanto dal Google Play Store.

Per ulteriori informazioni su questo malware vi rimandiamo al post pubblicato da McAfee.