Los ataques comienzan —como siempre— con intentos de phishing. Los usuarios reciben mensajes de texto que les piden que descarguen aplicaciones aparentemente legítimas. Si muerden el anzuelo e instalan la aplicación, el malware SpyAgent se pone a trabajar.

¿Su objetivo? Capturas de pantalla de las frases de recuperación de 12 a 24 palabras utilizadas para las billeteras de criptomonedas. Dado que estas frases son demasiado largas para recordarlas fácilmente, los usuarios suelen tomar capturas de pantalla para futuras referencias. Si los atacantes comprometen estas capturas de pantalla, pueden recuperar las billeteras criptográficas en el dispositivo de su elección, lo que les permite robar toda la moneda digital que contienen. Y una vez que se acaban los fondos, se acaban: la naturaleza de los protocolos de criptomonedas significa que cuando se completan las transacciones, no se pueden revertir. Si el dinero se envía a la dirección incorrecta, los remitentes deben pedir a los destinatarios que creen y completen una transacción de devolución.

Si los usuarios capturan su frase de recuperación y SpyAgent se la roba, los atacantes solo necesitan recuperar la billetera y transferir fondos al destino de su elección.

El malware estuvo circulando en Corea del Sur, con más de 280 APK afectados, según Coin Telegraph. Estas aplicaciones se distribuyen fuera del almacen oficial de Google Play, a menudo mediante mensajes SMS o publicaciones en redes sociales para captar el interés de los usuarios. Algunas de las aplicaciones infectadas imitan los servicios de gobierno de Corea del Sur o del Reino Unido, mientras que otras parecen ser aplicaciones de citas o contenido para adultos.

También hay indicios de que los atacantes pueden estar preparándose para expandirse al Reino Unido, lo que, a su vez, podría conducir a un compromiso más generalizado. Y aunque actualmente el malware es solo para Android, hay indicios de que puede estar en desarrollo una versión para iOS.