Un nuovo malware per Android chiamato SpyAgent, scoperto dalla società di sicurezza software McAfee, può rubare le chiavi private memorizzate negli screenshot e nelle immagini sulla memoria interna di uno smartphone.

Più specificamente, il malware utilizza un meccanismo noto come riconoscimento ottico dei caratteri (OCR) per scansionare le immagini archiviate su uno smartphone ed estrarne le parole. L'OCR è presente in molte tecnologie, inclusi i computer desktop, che possono riconoscere, copiare e incollare il testo dalle immagini.

McAfee Labs ha spiegato che il malware viene distribuito tramite link malevoli inviati tramite messaggi di testo. La società di sicurezza informatica ha suddiviso il processo, iniziando con un utente ignaro che clicca su un link ricevuto.

Esempi di app fraudolente scoperte da McAfee. Fonte: McAfee

Il link reindirizzerà l'utente a un sito web apparentemente legittimo e lo spingerà a scaricare un'applicazione presentata come affidabile. Tuttavia, l'applicazione è il malware SpyAgent e installarla comprometterà il telefono.

Secondo il rapporto, questi programmi fraudolenti sono camuffati da app bancarie, applicazioni governative e servizi di streaming. Dopo aver installato le applicazioni, agli utenti viene chiesto di concedere all'applicazione l'autorizzazione ad accedere a contatti, messaggi e archiviazione locale.

Il pannello di controllo utilizzato dagli attori malintenzionati per gestire i dati rubati alle vittime. Fonte: McAfee

Attualmente, il malware prende di mira principalmente gli utenti sudcoreani ed è stato rilevato in oltre 280 app fraudolente dagli specialisti della sicurezza informatica McAfee.

Attacchi malware in aumento nel 2024

Ad agosto è stato identificato un malware simile che colpisce i sistemi MacOS chiamato "Cthulhu Stealer". Come SpyAgent, Cthulhu Stealer si camuffa da applicazione software legittima e ruba informazioni personali all'utente, tra cui password MetaMask, indirizzi IP e chiavi private per cold wallet presenti sul desktop.

Nello stesso mese, Microsoft ha scoperto una vulnerabilità nel browser web Google Chrome, che è stata probabilmente sfruttata da un gruppo di hacker nordcoreani chiamato Citrine Sleet.

Il gruppo di hacker avrebbe creato falsi exchange di criptovalute e utilizzato quei siti per inviare domande di lavoro fraudolente a utenti ignari. Ogni utente che ha seguito il processo ha inavvertitamente installato malware controllato da remoto sul proprio sistema, che ha rubato le chiavi private dell'utente.

Da allora, la vulnerabilità di Chrome è stata corretta. Tuttavia, la frequenza degli attacchi malware ha spinto il Federal Bureau of Investigation (FBI) a emettere un avviso sul gruppo di hacker nordcoreano.

Rivista: Il creatore di Pink Drainer difende il suo kit di truffa crittografica che prosciuga il portafoglio