新しい SpyAgentマルウェアがOCRを使用して秘密キーを盗む

新しい SpyAgentマルウェアがOCRを使用して秘密キーを盗む

韓国のAndroidデバイス ユーザーが、SpyAgentと呼ばれる新しいタイプの脅威を配信する新しいモバイルマルウェアキャンペーンのターゲットとして浮上している事がわかった。

日本語訳:
シードフレーズが危険にさらされています!
北朝鮮のハッカーグループが、あなたのウォレットを空にする新しい方法を開発した。
私の弟が犠牲になった

このマルウェアは、デバイス上の画像をスキャンし、ニーモニックキー(mnemonic key:マウスに代わるキーボード操作の事)をターゲットするとMcAfee(マカフィ)のリュ・サンリョル(SangRyol Ryu)研究員は分析で述べており、ターゲット範囲が英国を含むように拡大していると注意喚起している。

ハッキングの最新の進化は、高度化の大幅な飛躍を示しており、ハッカーは現在、OCR(光学文字認識)ツールを使用し、侵害されたデバイスに保存されている写真からシードフレーズを検出して抽出している。専門家は、OCR技術を使用して仮想通貨のシードフレーズを盗む、新たに発見されたマルウェア「SpyAgent」について警告。同研究員は、SpyAgentは、銀行プロバイダー、政府機関、ストリーミングサービスなどの評判の良い企業の正規ソフトウェアを装った偽アプリを通じて配布されていると指摘。

このキャンペーンでは、一見正当な銀行、政府施設、ストリーミング、ユーティリティアプリに偽装した偽Androidアプリを使用して、ユーザーを騙してインストールさせようとしており、2024年に入ってから、280もの偽アプリが検出されている。過去にも同様の手法が採用されてきたが、OCR 技術の使用により、この脅威に新たな側面が加わり、マルウェアは画像をテキストに変換でき、Androidデバイスに保存されているシードフレーズの写真をターゲットにしている。

McAfee Labs によると、SpyAgent のインシデントは現在韓国に集中しており、このマルウェアは2024年1月頃に初めて導入されたと考えられている。

感染プロセス

多くの場合、被害者は仮想通貨の資金がどのように失われたのかを知らないため、SpyAgentハッキングのケースはまれである。

感染プロセスは、フィッシング攻撃から始まり、ユーザーはSMSやSNSからのダイレクトメッセージでリンクを受け取り、偽サイトに被害者を誘導し、悪意のあるプログラムを含むAPKファイルをダウンロードするようユーザーに促している。すべては、偽サイトにホストされているAPKファイルの形式で問題のアプリをダウンロードするようにユーザーに促す、罠のリンクを含むSMSメッセージから始まる。インストールされると、デバイスからデータを収集するために侵入的な許可を要求するように設計。これには連絡先、SMS メッセージ、写真、その他のデバイス情報が含まれており、それらはすべて脅威アクターの制御下にある外部サーバーに流出するとのことだ。