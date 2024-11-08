Una nueva cepa de malware para Android conocida como SpyAgent está circulando y robando capturas de pantalla mientras avanza. Mediante la tecnología de reconocimiento óptico de caracteres (OCR), el malware busca frases de recuperación de criptomonedas que a menudo se almacenan en capturas de pantalla en los dispositivos de los usuarios.
Aquí le mostramos cómo esquivar la bala.
Los ataques comienzan —como siempre— con intentos de phishing. Los usuarios reciben mensajes de texto que les piden que descarguen aplicaciones aparentemente legítimas. Si muerden el anzuelo e instalan la aplicación, el malware SpyAgent se pone a trabajar.
¿Su objetivo? Capturas de pantalla de las frases de recuperación de 12 a 24 palabras utilizadas para las billeteras de criptomonedas. Dado que estas frases son demasiado largas para recordarlas fácilmente, los usuarios suelen tomar capturas de pantalla para futuras referencias. Si los atacantes comprometen estas capturas de pantalla, pueden recuperar las billeteras criptográficas en el dispositivo de su elección, lo que les permite robar toda la moneda digital que contienen. Y una vez que se acaban los fondos, se acaban: la naturaleza de los protocolos de criptomonedas significa que cuando se completan las transacciones, no se pueden revertir. Si el dinero se envía a la dirección incorrecta, los remitentes deben pedir a los destinatarios que creen y completen una transacción de devolución.
Si los usuarios capturan su frase de recuperación y SpyAgent se la roba, los atacantes solo necesitan recuperar la billetera y transferir fondos al destino de su elección.
El malware estuvo circulando en Corea del Sur, con más de 280 APK afectados, según Coin Telegraph. Estas aplicaciones se distribuyen fuera del almacen oficial de Google Play, a menudo mediante mensajes SMS o publicaciones en redes sociales para captar el interés de los usuarios. Algunas de las aplicaciones infectadas imitan los servicios de gobierno de Corea del Sur o del Reino Unido, mientras que otras parecen ser aplicaciones de citas o contenido para adultos.
También hay indicios de que los atacantes pueden estar preparándose para expandirse al Reino Unido, lo que, a su vez, podría conducir a un compromiso más generalizado. Y aunque actualmente el malware es solo para Android, hay indicios de que puede estar en desarrollo una versión para iOS.
Si bien las frases de recuperación de criptomonedas son la máxima prioridad para SpyAgent, el uso de la tecnología OCR significa que cualquier imagen está disponible. Por ejemplo, si los dispositivos empresariales tienen capturas de pantalla de nombres de usuario y contraseñas para bases de datos o herramientas de analytics, los activos de la empresa podrían estar en riesgo. Considere un administrador con acceso a múltiples servicios seguros, cada uno de los cuales requiere una contraseña única para ayudar a reducir el riesgo de compromiso. En un esfuerzo por mantener las contraseñas seguras pero aún así tenerlas disponibles bajo demanda, nuestro gerente bien intencionado hace una lista y toma una captura de pantalla de sus diferentes combinaciones de credenciales. Como creen que su dispositivo es seguro, la empresa utiliza soluciones como la autenticación multifactorial (MFA) y el inicio de sesión único seguro(SSO), y no consideran que sus capturas de pantalla supongan un riesgo.
Sin embargo, si los hackers los convencen de hacer clic y descargar aplicaciones infectadas, los atacantes pueden ver y robar datos de imágenes guardados y luego usar estos datos para obtener acceso "legítimo" a la cuenta.
Otro riesgo potencial proviene de los datos personales. Los usuarios pueden tener capturas de pantalla de datos personales de salud o financieros, lo que los pone en riesgo de exfiltración de datos y fraude de identidad. También podrían tener datos de contacto confidenciales de asociados de negocios o ejecutivos, lo que abriría la puerta a otra ronda de ataques de phishing.
Este enfoque de compromiso basado en imágenes crea dos problemas para los equipos de seguridad. El primero es el tiempo necesario para la detección. Las empresas tardan en promedio 258 días en detectar y contener un incidente, como se señala en el Informe del costo de una filtración de datos de IBM 2024. Pero esta cifra solo es válida si la seguridad funciona a pleno rendimiento. Si los dispositivos móviles se ven comprometidos por acciones de los usuarios, y el único propósito del malware es encontrar y robar capturas de pantalla, el problema podría pasar desapercibido durante mucho más tiempo, especialmente si los atacantes esperan su momento.
Por otro lado, una vez que los delincuentes deciden actuar, el daño puede ser significativo. Con las credenciales robadas, los atacantes pueden acceder a servicios críticos y bloquear el acceso a los propietarios de las cuentas. Desde allí, pueden capturar y extraer datos a través de una gran cantidad de sistemas y servicios de TI. Si bien esta acción directa alertará a los equipos de TI, la respuesta de seguridad es naturalmente reaccionaria, lo que significa que las empresas no pueden evitar el ataque; mitigan el daño.
El mensaje aquí es sencillo: si está en tu teléfono, nunca es del todo seguro. Capturas de pantalla de contraseñas de recuperación criptográfica, inicios de sesión corporativos y contraseñas o datos personales como números de Seguro Social o detalles de cuentas bancarias son objetivos valiosos para los atacantes.
Esquivar la bala también significa no morder el anzuelo: no responda a mensajes de texto no solicitados y solo descargue aplicaciones a través de almacenes de aplicaciones aprobados. También significa tomar precauciones. La naturaleza siempre conectada de los dispositivos significa que la seguridad total es una ilusión. Cuanto menos se almacene en un dispositivo, mejor.
Los usuarios pueden mantener seguros los dispositivos apegados a la tienda oficial de Google Play. Las aplicaciones descargadas fuera de Play Store no tienen garantías sobre su seguridad. Algunas son aplicaciones benignas que no han pasado el proceso de selección de Google. Otros son casi duplicados de aplicaciones oficiales que contienen archivos o comandos ocultos. Y algunos son simplemente vehículos para instalar malware y conectarse con servidores de comando y control (C2).
Además, las empresas pueden beneficiarse del despliegue de herramientas de automatización de seguridad y seguridad de IA. Estas soluciones son capaces de capturar y correlacionar patrones de comportamiento que pueden parecer benignos pero que son indicadores colectivos de compromiso (IoCs). Como lo señalan los datos de IBM, las empresas que utilizaron ampliamente la IA y la automatización pudieron detectar y contener brechas 98 días más rápido que el promedio global.
El malware SpyAgent ahora está merodeando por Corea del Sur, robando capturas de pantalla para capturar contraseñas de recuperación criptográfica y poniendo a las empresas en riesgo de compromiso de datos a mayor escala.
¿La mejor defensa? Una trifecta de ahorros de capturas de pantalla, sospechas sobre aplicaciones fuera de marca y el despliegue de soluciones de inteligencia superiores.