一款名為 SpyAgent 的新型安卓惡意軟件近期被發(fā)現(xiàn)可利用光學(xué)字符識別（OCR）技術(shù)，從存儲在移動設(shè)備上的截圖中竊取加密貨幣錢包恢復(fù)短語。這種加密貨幣恢復(fù)短語或種子短語通常由 12-24 個單詞組成，是加密貨幣錢包的備份密鑰，主要用于丟失設(shè)備、數(shù)據(jù)損壞或希望將錢包轉(zhuǎn)移到新設(shè)備時恢復(fù)對加密貨幣錢包及其所有資金的訪問。

這類秘密短語深受威脅行為者的追捧，因為一旦他們獲取到這些短語，就能在他們自己的設(shè)備上還原他人的錢包，并竊取其中存儲的所有資金。

由于恢復(fù)短語有 12-24 個單詞，很難記住，因此加密貨幣錢包往往會提示人們保存或打印這些單詞，并將其存放在安全的地方。為了方便起見，有些人會將恢復(fù)短語截圖并保存為移動設(shè)備的圖像。

McAfee發(fā)現(xiàn)的一起惡意軟件操作至少涉及280個在谷歌Play商店之外分發(fā)的APK。這些APK通過短信或惡意社交媒體帖子傳播，能夠利用OCR技術(shù)從Android設(shè)備上存儲的圖片中恢復(fù)加密貨幣恢復(fù)短語，構(gòu)成重大威脅。

一些 Android 應(yīng)用程序會偽裝成韓國和英國政府服務(wù)、約會網(wǎng)站和色情網(wǎng)站。雖然該活動主要針對韓國，但 McAfee 已觀察到其暫時擴展到英國，并有跡象表明 iOS 變種可能正在早期開發(fā)中。

SpyAgent惡意軟件活動時間表，來源：McAfee

2023 年 7 月，趨勢科技揭露了兩個名為 CherryBlos 和 FakeTrade 的安卓惡意軟件家族，它們通過 Google Play 傳播，也使用 OCR 從提取的圖像中竊取加密貨幣數(shù)據(jù)，因此這種策略似乎正受到越來越多的關(guān)注。

SpyAgent 數(shù)據(jù)提取

一旦感染新設(shè)備，SpyAgent 就會開始向其指揮和控制 (C2) 服務(wù)器發(fā)送以下敏感信息：

• 受害者的聯(lián)系人列表，可能是為了通過來自可信聯(lián)系人的短信傳播惡意軟件。
• 收到的短信，包括包含一次性密碼 (OTP) 的短信。
• 存儲在設(shè)備上用于 OCR 掃描的圖像。
• 通用設(shè)備信息，可能用于優(yōu)化攻擊。

SpyAgent 還可以接收來自 C2 的命令，以更改聲音設(shè)置或發(fā)送短信，這些命令很可能用于發(fā)送釣魚短信以傳播惡意軟件。

C2 服務(wù)器上的 OCR 掃描結(jié)果，來源：McAfee

暴露的基礎(chǔ)設(shè)施

McAfee 發(fā)現(xiàn)，SpyAgent 行動的運營者在配置服務(wù)器時沒有遵循正確的安全做法，這才導(dǎo)致研究人員能夠輕易訪問服務(wù)器、管理員面板頁面以及從受害者那里竊取的文件和數(shù)據(jù)。

攻擊者的控制面板，來源：McAfee

被盜圖像會在服務(wù)器端進行處理和 OCR 掃描，然后在管理面板上進行相應(yīng)整理，以便于管理和立即用于錢包劫持攻擊。

執(zhí)行圖像 OCR 掃描的代碼，來源：McAfee

如果想降低安卓系統(tǒng)受到此類攻擊的風(fēng)險，那就不要在 Google Play 以外的渠道下載安裝安卓應(yīng)用程序，因為那些非官方渠道是惡意軟件傳播的主要途徑。

也不要理會那些鏈接到 APK 下載 URL 的短信，并始終關(guān)閉與應(yīng)用程序核心功能無關(guān)的危險權(quán)限。另外，定期進行 Google Play Protect 掃描，以檢查是否有被檢測為惡意軟件的應(yīng)用程序也是十分必要的。