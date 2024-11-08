Serangan dimulai — seperti biasa — dengan upaya phishing. Pengguna menerima pesan teks yang meminta mereka untuk mengunduh aplikasi yang tampaknya sah. Jika mereka menerima umpan dan menginstal aplikasi, malware SpyAgent akan mulai bekerja.

Targetnya? Tangkapan layar frase pemulihan 12-24 kata yang digunakan untuk dompet mata uang kripto. Karena frasa ini terlalu panjang untuk diingat dengan mudah, pengguna sering mengambil tangkapan layar untuk referensi di masa mendatang. Jika tangkapan layar ini disusupi atau bocor, penyerang dapat memindahkan pemulihan dompet kripto ke perangkat mereka sendiri dan mencuri seluruh isi aset digital yang ada. Dan begitu dana tersebut hilang, dana itu benar-benar hilang — sifat protokol mata uang kripto membuat transaksi yang telah selesai tidak dapat dibatalkan. Jika uang dikirim ke alamat yang salah, pengirim harus meminta penerima untuk membuat dan menyelesaikan transaksi pengembalian.

Jika pengguna tangkapan layar frasa pemulihan mereka dan dicuri oleh SpyAgent, penyerang hanya perlu memulihkan dompet dan mentransfer dana ke tujuan pilihan mereka.

Malware ini telah beredar di Korea Selatan, dengan lebih dari 280 APK yang terdampak, menurut Coin Telegraph. Aplikasi ini didistribusikan di luar toko Google Play resmi, sering menggunakan pesan SMS atau posting media sosial untuk menarik minat pengguna. Beberapa aplikasi yang terinfeksi meniru layanan pemerintah Korea Selatan atau Inggris, sementara yang lain tampaknya merupakan aplikasi kencan atau konten dewasa.

Ada sinyal bahwa para penyerang sedang merencanakan ekspansi ke Inggris, yang berpotensi memicu kebocoran yang lebih luas. Dan sementara malware saat ini hanya Android, ada tanda-tanda bahwa versi iOS mungkin sedang dalam pengembangan.