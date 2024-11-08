Una nuova variante di malware Android nota come SpyAgent sta circolando e rubando screenshot al suo passaggio. Utilizzando la tecnologia di riconoscimento ottico dei caratteri (OCR), il malware cerca frasi di recupero delle criptovalute, spesso memorizzate negli screenshot sui dispositivi degli utenti.
Ecco come schivare questo proiettile.
Gli attacchi iniziano, come sempre, con tentativi di phishing. Gli utenti ricevono SMS che li invitano a scaricare app apparentemente legittime. Se abboccano all'esca e installano l'app, il malware SpyAgent si mette al lavoro.
Il suo obiettivo? Gli screenshot delle frasi di recupero da 12-24 parole utilizzate per i portafogli di criptovalute. Poiché queste frasi sono troppo lunghe per essere ricordate facilmente, gli utenti spesso ne scattano screenshot da consultare in futuro. Se gli aggressori compromettono queste schermate, possono recuperare i portafogli crittografici sul dispositivo che preferiscono, riuscendo così a rubare tutte le valute digitali in essi contenuta. E una volta che i fondi sono andati, sono andati: la natura dei protocolli delle criptovalute fa sì che, una volta completate, le transazioni non possano essere annullate. Se il denaro viene inviato all'indirizzo sbagliato, i mittenti devono chiedere ai destinatari di creare e completare una transazione di reso.
Se gli utenti salvano la loro frase di recupero su screenshot e questa viene rubata da SpyAgent, gli aggressori devono solo recuperare il portafoglio e trasferire i fondi alla destinazione da loro scelta.
Il malware sta circolando in Corea del Sud, con più di 280 APK coinvolti, secondo Coin Telegraph. Queste applicazioni vengono distribuite al di fuori del Google Play Store ufficiale, spesso utilizzando messaggi SMS o post sui social media per catturare l'interesse degli utenti. Alcune delle app infette imitano servizi governativi sudcoreani o britannici, mentre altre sembrano essere applicazioni di incontri o contenuti per adulti.
Ci sono anche indizi che gli aggressori potrebbero essere pronti a espandersi nel Regno Unito, il che, a sua volta, potrebbe portare a un compromesso più diffuso. Sebbene al momento il malware sia disponibile solo per Android, ci sono segnali che indicano che una versione per iOS potrebbe essere in fase di sviluppo.
Sebbene le frasi per il recupero delle criptovalute siano la priorità assoluta di SpyAgent, l'utilizzo della tecnologia OCR significa che qualsiasi immagine è a portata di mano. Ad esempio, se i dispositivi aziendali contengono screenshot di nomi utente e password per database o strumenti di analytics, le risorse aziendali potrebbero essere a rischio. Pensa a un manager con accesso a più servizi sicuri, ognuno dei quali richiede una password unica per ridurre il rischio di compromissione. Nel tentativo di mantenere le password al sicuro ma mantenendole comunque disponibili su richiesta, il nostro manager benintenzionato crea una lista e scatta una schermata delle diverse combinazioni di credenziali. Poiché ritengono che il loro dispositivo sia sicuro, l'azienda utilizza soluzioni come l'autenticazione a più fattori (MFA) e il single sign-on sicuro (SSO), e non vedono il loro screenshot come un rischio.
Se gli hacker li convincono a fare clic e scaricare applicazioni infette, tuttavia, gli aggressori possono visualizzare e rubare i dati delle immagini salvati e quindi utilizzare questi dati per accedere "in modo legittimo" all'account.
Un altro rischio potenziale deriva dai dati personali. Gli utenti possono avere schermate di dati personali relativi allo stato di salute o finanziari, il che li espone al rischio di esfiltrazione dei dati e frode di identità. Potrebbero anche avere dati di contatto riservati dei business partner o dirigenti, aprendo la porta a un nuovo ciclo di attacchi di phishing.
Questo approccio basato sulle immagini alla compromissione crea due problemi per i team di sicurezza. Il primo è il tempo necessario per il rilevamentovamento. Le aziende impiegano in media 258 giorni per rilevare e contenere un incidente, come indicato dal report Cost of a Data Breach di IBM del 2024. Ma questo numero è valido solo se la sicurezza funziona a pieno regime. Se i dispositivi mobili vengono compromessi e il malware ha solo lo scopo di trovare e rubare screenshot, il problema potrebbe passare inosservato molto più a lungo, soprattutto se gli aggressori aspettano il momento giusto.
Nel frattempo, una volta che i criminali si spostano per colpire, i danni potrebbero essere ingenti. Utilizzando le credenziali rubate, gli aggressori possono ottenere l'accesso a servizi critici e bloccare i proprietari degli account. Da lì, possono catturare ed esfiltrare i dati attraverso una serie di sistemi e servizi IT. Sebbene questa azione diretta allerti i team IT, la risposta alla sicurezza è naturalmente reattiva, il che significa che le aziende non possono evitare l'attacco, ma mitigare il danno.
Il messaggio è semplice: se qualcosa è sul tuo telefono, non è mai del tutto sicuro. Le schermate delle password di recupero delle piattaforme di criptovalute, login aziendali e password o dati personali come numeri di previdenza sociale o dati bancari sono obiettivi preziosi per gli aggressori.
Schivare il proiettile significa anche non abboccare all'esca: non rispondere a messaggi non richiesti e scaricare le app solo attraverso negozi di app approvati. Inoltre, significa prendere le dovute precauzioni. La natura sempre connessa dei dispositivi significa che la sicurezza perfetta è un'illusione. Meno dati vengono memorizzati su un dispositivo, meglio è.
Gli utenti possono mantenere i dispositivi al sicuro attenendosi al Google Play Store ufficiale. Le applicazioni scaricate al di fuori del Play Store non offrono alcuna garanzia sulla loro sicurezza. Alcune sono app innocue che non hanno superato il processo di screening di Google. Altre sono quasi duplicati di applicazioni ufficiali che contengono file o comandi nascosti. Altre sono semplicemente veicoli per installare malware e connettersi ai server di comando e controllo (C2).
Inoltre, le aziende possono approfittare dell'implementazione di strumenti di sicurezza automatizzati e di intelligenza artificiale. Queste soluzioni sono in grado di catturare e correlare modelli di comportamento che possono sembrare innocui, ma che in realtà sono indicatori collettivi di compromissione (IoC). Come osservato dai dati IBM, le aziende che hanno utilizzato ampiamente AI e automazione sono riuscite a rilevare e contenere le violazioni 98 giorni più velocemente della media globale.
Il malware SpyAgent si aggira ora in Corea del Sud, rubando schermate per catturare password di recupero delle piattaforme di criptovalute e mettendo le aziende a rischio di compromissione dei dati su larga scala.
La migliore difesa? Pochi screenshot, diffidenza verso le app non originali e implementazione di soluzioni di intelligence superiori.