По данным Cointelegraph, компания McAfee, занимающаяся безопасностью программного обеспечения, обнаружила новую вредоносную программу для Android под названием SpyAgent. Эта вредоносная программа способна красть закрытые ключи, хранящиеся на снимках экрана и изображениях во внутренней памяти смартфона. SpyAgent использует технологию оптического распознавания символов (OCR) для сканирования и извлечения текста из изображений, хранящихся на устройстве. OCR обычно используется в различных технологиях, включая настольные компьютеры, для распознавания и обработки текста на изображениях.
McAfee Labs подробно описала, что вредоносное ПО распространяется через вредоносные ссылки, отправляемые в текстовых сообщениях. Процесс начинается, когда ничего не подозревающий пользователь нажимает на полученную ссылку, которая перенаправляет его на, казалось бы, легитимный веб-сайт. Затем сайт предлагает пользователю загрузить приложение, которое выглядит заслуживающим доверия, но на самом деле является вредоносным ПО SpyAgent. После установки вредоносное ПО ставит под угрозу работу телефона. Эти мошеннические приложения часто маскируются под банковские приложения, правительственные приложения и потоковые сервисы. После установки пользователям предлагается предоставить приложению разрешения на доступ к контактам, сообщениям и локальному хранилищу.
В настоящее время SpyAgent в первую очередь нацелен на южнокорейских пользователей и был обнаружен в более чем 280 мошеннических приложениях специалистами по кибербезопасности McAfee. Рост числа атак вредоносного ПО был заметен в 2024 году. В августе была обнаружена похожая вредоносная программа, поражающая системы MacOS, под названием «Cthulhu Stealer». Как и SpyAgent, Cthulhu Stealer маскируется под легальное программное обеспечение и крадет личную информацию, включая пароли MetaMask, IP-адреса и закрытые ключи для холодных кошельков на рабочем столе.
В том же месяце Microsoft обнаружила уязвимость в веб-браузере Google Chrome, которая, вероятно, была использована северокорейской хакерской группой, известной как Citrine Sleet. Сообщается, что эта группа создала поддельные криптовалютные биржи и использовала эти сайты для отправки мошеннических заявлений о приеме на работу ничего не подозревающим пользователям. Выполнение этого процесса привело к установке на систему пользователя удаленно управляемого вредоносного ПО, которое затем похищало закрытые ключи. Хотя уязвимость Chrome с тех пор была исправлена, частота этих вредоносных атак побудила Федеральное бюро расследований (ФБР) выпустить предупреждение о северокорейской хакерской группе.