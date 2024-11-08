Una nueva variante de malware para Android conocida como SpyAgent está circulando y robando capturas de pantalla a medida que avanza. Utilizando la tecnología de reconocimiento óptico de caracteres (OCR), el malware busca frases de recuperación de criptomonedas que a menudo se almacenan en capturas de pantalla en los dispositivos de los usuarios.
Aquí le explicamos cómo esquivar la bala.
Los ataques comienzan, como siempre, con intentos de phishing. Los usuarios reciben mensajes de texto que les piden que descarguen aplicaciones aparentemente legítimas. Si muerden el anzuelo e instalan la aplicación, el malware SpyAgent se pone a trabajar.
¿Su objetivo? Capturas de pantalla de las frases de recuperación de 12 a–24 palabras utilizadas para las carteras de criptomonedas. Como estas frases son demasiado largas para recordarlas fácilmente, los usuarios suelen hacer capturas de pantalla para consultarlas en el futuro. Si los atacantes comprometen estas capturas de pantalla, pueden recuperar las criptocarteras en el dispositivo que elijan, lo que les permitirá robar toda la moneda digital que contengan. Y una vez que los fondos se acaban, desaparecen, la naturaleza de los protocolos de criptomonedas significa que, cuando se completan las transacciones, no pueden revertirse. Si el dinero se envía a la dirección equivocada, los remitentes deben pedir a los destinatarios que creen y completen una transacción de devolución.
Si los usuarios hacen una captura de pantalla de su frase de recuperación y SpyAgent se la roba, los atacantes solo necesitan recuperar la cartera y transferir los fondos al destino que elijan.
El malware ha estado circulando por Corea del Sur, con más de 280 APK afectados, según Coin Telegraph. Estas aplicaciones se distribuyen fuera de la tienda oficial de Google Play, a menudo mediante mensajes SMS o publicaciones en redes sociales para captar el interés de los usuarios. Algunas de las aplicaciones infectadas imitan los servicios de gobierno de Corea del Sur o el Reino Unido, mientras que otras parecen ser aplicaciones de citas o de contenido para adultos.
También hay indicios de que los atacantes podrían estar preparándose para expandirse al Reino Unido, lo que podría conducir a un compromiso más amplio. Y aunque el malware actualmente es solo para Android, hay indicios de que se está desarrollando una versión para iOS.
Si bien las frases de recuperación de criptomonedas son la máxima prioridad para SpyAgent, el uso de la tecnología OCR significa que cualquier imagen está disponible. Por ejemplo, si los dispositivos de la empresa tienen capturas de pantalla de nombres de usuario y contraseñas de bases de datos o herramientas de análisis, los activos de la empresa podrían estar en peligro. Considere un gestor con acceso a múltiples servicios seguros, cada uno de los cuales requiere una contraseña única para ayudar a reducir el riesgo de compromiso. En un esfuerzo por mantener las contraseñas seguras pero aún así tenerlas disponibles bajo demanda, nuestro gerente bien intencionado hace una lista y toma una captura de pantalla de sus diferentes combinaciones de credenciales. Como creen que su dispositivo es seguro, la empresa utiliza soluciones como la autenticación multifactor (MFA) y el inicio de sesión único (SSO) seguro, y no ven su captura de pantalla como un riesgo.
Sin embargo, si los hackers los convencen de hacer clic y descargar aplicaciones infectadas, los atacantes pueden ver y robar datos de imágenes guardados y luego utilizar estos datos para obtener acceso "legítimo" a la cuenta.
Otro riesgo potencial proviene de los datos personales. Los usuarios pueden tener capturas de pantalla de datos personales de salud o financieros, lo que los pone en riesgo de exfiltración de datos y fraude de identidad. También pueden tener datos de contacto confidenciales de business partners o ejecutivos, lo que abre la puerta a otra ronda de ataques de phishing.
Este enfoque del compromiso basado en imágenes crea dos problemas para los equipos de seguridad. En primer lugar está el tiempo necesario para la detección. Las empresas tardan una media de 258 días en detectar y contener un incidente, como se señala en el Informe "Cost of a Data Breach" de IBM 2024. Pero esta cifra solo se aplica si la seguridad funciona a pleno rendimiento. Si los dispositivos móviles se ven comprometidos por acciones de los usuarios, y el único propósito del malware es encontrar y robar capturas de pantalla, el problema podría pasar desapercibido durante mucho más tiempo, especialmente si los atacantes esperan su momento.
Sin embargo, una vez que los delincuentes deciden actuar, los daños pueden ser considerables. Utilizando credenciales robadas, los atacantes pueden acceder a servicios críticos y bloquear a los propietarios de las cuentas. A partir de ahí, pueden capturar y exfiltrar datos a través de una gran cantidad de sistemas y servicios de TI. Si bien esta acción directa alertará a los equipos de TI, la respuesta de seguridad es naturalmente reaccionaria, lo que significa que las empresas no pueden evitar el ataque; mitigan el daño.
El mensaje aquí es sencillo: si está en su teléfono, nunca es del todo seguro. Las capturas de pantalla de contraseñas de recuperación de criptomonedas, inicios de sesión y contraseñas corporativas o datos personales como números de la Seguridad Social o detalles de cuentas bancarias son objetivos valiosos para los atacantes.
Esquivar la bala también significa no morder el anzuelo: no responda a mensajes de texto no solicitados y solo descargue aplicaciones a través de tiendas de aplicaciones aprobadas. También significa tomar precauciones. La naturaleza siempre conectada de los dispositivos significa que la seguridad total es una ilusión. Cuanto menos se almacene en un dispositivo, mejor.
Los usuarios pueden mantener sus dispositivos seguros accediendo a la tienda oficial de Google Play Las aplicaciones descargadas fuera de Play Store no ofrecen garantías sobre su seguridad. Algunas son aplicaciones benignas que no han pasado el proceso de selección de Google. Otros son casi duplicados de aplicaciones oficiales que contienen archivos o comandos ocultos. Y algunos son simplemente vehículos para instalar malware y conectarse con servidores de comando y control (C2).
Además, las empresas pueden beneficiarse de la implementación de herramientas de automatización de seguridad y seguridad de IA. Estas soluciones son capaces de capturar y correlacionar patrones de comportamiento que pueden parecer benignos pero que son indicadores colectivos de compromiso (IoC). Según los datos de IBM, las empresas que utilizaron ampliamente la IA y la automatización pudieron detectar y contener las infracciones 98 días antes que la media mundial.
El malware SpyAgent ahora está merodeando por Corea del Sur, robando capturas de pantalla para capturar contraseñas de recuperación de cifrado y poniendo a las empresas en riesgo de comprometer datos a mayor escala.
¿La mejor defensa? Una trifecta de ahorro de capturas de pantalla, sospecha sobre las aplicaciones fuera de marca y la implementación de soluciones de inteligencia superiores.