Les attaques commencent, comme toujours, par des tentatives de phishing. Les utilisateurs reçoivent des messages texte les invitant à télécharger des applications apparemment légitimes. S’ils mordent à l’hameçon et installent l’application, le logiciel malveillant SpyAgent entre en action.

Sa cible ? Captures d’écran des phrases de récupération de 12 à 24 mots utilisées pour les portefeuilles de crypto-monnaies. Comme ces phrases sont trop longues pour être retenues facilement, les utilisateurs font souvent des captures d’écran pour s’y référer ultérieurement. Si les attaquants compromettent ces captures d’écran, ils peuvent récupérer les portefeuilles de crypto-monnaie sur l’appareil de leur choix, ce qui leur permet de voler toute la monnaie numérique qu’ils contiennent. Et une fois que les fonds ont disparu, c’est pour de bon : la nature des protocoles de crypto-monnaies signifie que lorsque les transactions sont terminées, elles ne peuvent pas être annulées. Si de l’argent est envoyé à la mauvaise adresse, les émetteurs doivent demander aux destinataires de créer et de réaliser une transaction de retour.

Si les utilisateurs font une capture d’écran de leur phrase de récupération et qu’elle est volée par SpyAgent, les attaquants n’ont plus qu’à récupérer le portefeuille et à transférer les fonds vers la destination de leur choix.

Le logiciel malveillant circule en Corée du Sud, avec plus de 280 APK touchés, selon Coin Telegraph. Ces applications sont distribuées en dehors de la boutique officielle Google Play, souvent à l’aide de messages SMS ou de publications sur les médias sociaux pour susciter l’intérêt des utilisateurs. Certaines applications infectées imitent les services du gouvernement sud-coréen ou britannique, tandis que d’autres semblent être des applications de rencontres ou de contenu pour adultes.

Certains éléments indiquent également que les attaquants s’apprêtent à s’étendre au Royaume-Uni, ce qui pourrait, à son tour, entraîner une compromission plus généralisée. Bien que le logiciel malveillant cible actuellement uniquement Android, certains signes indiquent qu’une version iOS est en cours de développement.