一款名为 SpyAgent 的新型安卓恶意软件正在传播——其作案手法是窃取设备屏幕截图。该恶意软件通过光学字符识别 (OCR) 技术，专门针对用户设备屏幕截图中存储的加密货币恢复短语。
以下是防范方法。
攻击始于网络钓鱼——这已是惯用手法。用户收到诱导下载看似合法应用程序的短信。若用户受骗安装该应用，SpyAgent 恶意软件便会开始运作。
它的目标是什么？加密货币钱包使用的 12 至 24 词恢复短语屏幕截图。由于这些短语过长难以记忆，用户常通过屏幕截图保存以供日后查阅。若攻击者获取这些屏幕截图，便可将加密货币钱包恢复至其指定设备，从而盗取其中的所有数字货币。而资金一旦丢失便无法追回——加密货币协议的特性意味着交易完成后不可逆转。如果资金被误转入错误地址，发送方只能请求接收方创建并完成返还交易。
如果用户对恢复短语进行屏幕截图并被 SpyAgent 窃取，攻击者只需恢复钱包并将资金转移至其选定目的地即可。
据Coin Telegraph报道，该恶意软件已在韩国扩散，超过 280 个 APK 文件受到影响。这些应用程序通过官方 Google Play 商店之外的渠道分发，常利用短信或社交媒体帖文吸引用户关注。部分受感染应用仿冒韩国或英国政府服务程序，其他则伪装成交友或成人内容应用。
有迹象表明攻击者可能正计划向英国扩张，这或将导致更广泛的系统入侵。虽然该恶意软件目前仅针对安卓系统，但已有迹象表明 iOS 版本可能正在开发中。
尽管加密货币恢复短语是 SpyAgent 的首要目标，但光学字符识别技术的运用意味着任何图片都可能成为窃取对象。例如，若企业设备存有数据库或分析工具的用户名密码屏幕截图，公司资产便可能面临风险。试想一位能访问多项安全服务的经理，每项服务均需独立密码以降低泄露风险。为确保密码安全又便于随时取用，这位尽职的经理列出了所有凭证组合并截图保存。由于确信设备安全无虞，且公司已采用多重身份验证 (MFA) 与安全单点登录 (SSO) 等解决方案，他们并未将屏幕截图视为风险来源。
然而，若黑客成功诱使用户点击并下载受感染应用程序，攻击者便能查看并窃取存储的图片数据，进而利用这些数据“合法地”获取账户访问权限。
另一潜在风险涉及个人数据。用户可能存有个人健康或财务数据的屏幕截图，使其面临数据渗漏与身份欺诈的风险。他们也可能保存了商业伙伴或高管的机密联系方式，这为新一轮钓鱼攻击开启了大门。
这种基于图片的入侵方式为安全团队带来双重难题。首先是检测所需的时间成本。根据《IBM 2024 年数据泄露成本报告》指出，企业平均需要 258 天才能检测并控制安全事件。但这一数字仅适用于安全体系全面运作的情况。若移动设备因用户操作而受侵，且恶意软件的唯一目的就是搜寻并窃取屏幕截图，该问题可能被忽视更长时间——尤其当攻击者蛰伏待机时。
与此同时，一旦犯罪分子采取行动，造成的损害可能非常严重。攻击者利用窃取的凭证可访问关键服务并锁定账户所有者。在此之后，他们便可以跨多个 IT 系统与服务窃取数据。虽然这种直接行动会触发 IT 团队警报，但安全响应本质是被动反应，意味着企业无法完全避免攻击，只能尽力减轻损害。
核心信息很简单：凡是手机上的数据，都非绝对安全。加密货币恢复密码、企业登录凭证、密码或社保号码及银行账户详情等个人数据的屏幕截图，对攻击者而言都是高价值目标。
防范也意味着不咬钩——不回应未经请求的短信，仅通过官方应用商店下载程序。这还意味着采取预防措施。设备始终联网的特性意味着绝对安全只是幻影。设备存储内容越少越好。
用户应坚持使用官方 Google Play 商店以确保设备安全。Play Store 外下载的应用程序无法保证其安全性。有些是未通过谷歌审查流程的良性应用程序。有些是内含隐藏文件或指令的官方应用程序近乎复制的副本。还有些纯粹是植入恶意软件并连接命令与控制 (C2) 服务器的载体。
此外，企业可通过部署安全自动化与 AI 安全工具获得裨益。这些解决方案能够捕捉并关联看似无害的行为模式，而这些模式集合起来可能构成系统入侵的指标 (IoC)。根据 IBM 数据显示，广泛运用 AI 与自动化技术的企业检测和控制数据泄露的速度，比全球平均水平快 98 天。
SpyAgent 恶意软件当前正在韩国潜伏，通过窃取屏幕截图获取加密货币恢复密码，使企业面临更大规模数据泄露的风险。
最佳防御策略是什么？是屏幕截图存储节制、对非官方应用程序保持警惕以及部署高级智能解决方案这三重防线的结合。