Um novo malware para Android chamado SpyAgent, descoberto pela empresa de segurança de software McAfee, pode roubar chaves privadas armazenadas em capturas de tela e imagens no armazenamento interno de um smartphone.
Mais especificamente, o malware usa um mecanismo conhecido como reconhecimento óptico de caracteres (OCR) para escanear imagens armazenadas em um smartphone e extrair palavras delas. O OCR está presente em muitas tecnologias, incluindo computadores de mesa, que podem reconhecer, copiar e colar texto de imagens.
O McAfee Labs explicou que o malware é distribuído por meio de links maliciosos enviados por mensagens de texto. A empresa de segurança cibernética decompôs o processo, começando com um usuário desavisado clicando em um link que recebeu.
Examples of the fraudulent apps discovered by McAfee. Source: McAfee
O link redirecionará o usuário para um site aparentemente legítimo e o levará a baixar um aplicativo apresentado como confiável. No entanto, o aplicativo é o malware SpyAgent, e instalá-lo comprometerá o telefone.
De acordo com a publicação, esses programas fraudulentos são disfarçados como aplicativos bancários, aplicativos governamentais e serviços de streaming. Ao instalar os aplicativos, os usuários são solicitados a dar permissão ao aplicativo para acessar contatos, mensagens e armazenamento local.
O painel de controle de atores maliciosos usado para gerenciar dados roubados de vítimas. Fonte: McAfee
Atualmente, o malware tem como alvo principal usuários sul-coreanos e foi detectado em mais de 280 aplicativos fraudulentos por especialistas em segurança cibernética da McAfee.
Ataques de malware aumentam em 2024
Em agosto, um malware similar que afeta sistemas MacOS chamado “ Cthulhu Stealer ” foi identificado. Assim como o SpyAgent, o Cthulhu Stealer se disfarça como um aplicativo de software legítimo e rouba informações pessoais do usuário, incluindo senhas MetaMask, endereços IP e chaves privadas para carteiras frias que vivem no desktop.
No mesmo mês, a Microsoft descobriu uma vulnerabilidade no navegador Google Chrome, que provavelmente foi explorada por um grupo de hackers norte-coreanos chamado Citrine Sleet.
O grupo de hackers supostamente criou falsas exchanges de criptomoedas e usou esses sites para enviar candidaturas fraudulentas a usuários desavisados. Qualquer usuário que seguisse o processo inadvertidamente instalava malware controlado remotamente em seu sistema — o que roubava chaves privadas do usuário.
Desde então, a vulnerabilidade do Chrome foi corrigida. No entanto, a frequência dos ataques de malware levou o Federal Bureau of Investigation (FBI) a emitir um aviso sobre o grupo de hackers norte-coreano.