一款名為 SpyAgent 的新型安卓惡意軟件近期被發(fā)現(xiàn)可利用光學(xué)字符識(shí)別（OCR）技術(shù)，從存儲(chǔ)在移動(dòng)設(shè)備上的截圖中竊取加密貨幣錢包恢復(fù)短語。這種加密貨幣恢復(fù)短語或種子短語通常由 12-24 個(gè)單詞組成，是加密貨幣錢包的備份密鑰，主要用于丟失設(shè)備、數(shù)據(jù)損壞或希望將錢包轉(zhuǎn)移到新設(shè)備時(shí)恢復(fù)對(duì)加密貨幣錢包及其所有資金的訪問。

這類秘密短語深受威脅行為者的追捧，因?yàn)橐坏┧麄儷@取到這些短語，就能在他們自己的設(shè)備上還原他人的錢包，并竊取其中存儲(chǔ)的所有資金。

由于恢復(fù)短語有 12-24 個(gè)單詞，很難記住，因此加密貨幣錢包往往會(huì)提示人們保存或打印這些單詞，并將其存放在安全的地方。為了方便起見，有些人會(huì)將恢復(fù)短語截圖并保存為移動(dòng)設(shè)備的圖像。

McAfee發(fā)現(xiàn)的一起惡意軟件操作至少涉及280個(gè)在谷歌Play商店之外分發(fā)的APK。這些APK通過短信或惡意社交媒體帖子傳播，能夠利用OCR技術(shù)從Android設(shè)備上存儲(chǔ)的圖片中恢復(fù)加密貨幣恢復(fù)短語，構(gòu)成重大威脅。

一些 Android 應(yīng)用程序會(huì)偽裝成韓國(guó)和英國(guó)政府服務(wù)、約會(huì)網(wǎng)站和色情網(wǎng)站。雖然該活動(dòng)主要針對(duì)韓國(guó)，但 McAfee 已觀察到其暫時(shí)擴(kuò)展到英國(guó)，并有跡象表明 iOS 變種可能正在早期開發(fā)中。

SpyAgent惡意軟件活動(dòng)時(shí)間表，來源：McAfee

2023 年 7 月，趨勢(shì)科技揭露了兩個(gè)名為 CherryBlos 和 FakeTrade 的安卓惡意軟件家族，它們通過 Google Play 傳播，也使用 OCR 從提取的圖像中竊取加密貨幣數(shù)據(jù)，因此這種策略似乎正受到越來越多的關(guān)注。

SpyAgent 數(shù)據(jù)提取

一旦感染新設(shè)備，SpyAgent 就會(huì)開始向其指揮和控制 (C2) 服務(wù)器發(fā)送以下敏感信息：

• 受害者的聯(lián)系人列表，可能是為了通過來自可信聯(lián)系人的短信傳播惡意軟件。
• 收到的短信，包括包含一次性密碼 (OTP) 的短信。
• 存儲(chǔ)在設(shè)備上用于 OCR 掃描的圖像。
• 通用設(shè)備信息，可能用于優(yōu)化攻擊。

SpyAgent 還可以接收來自 C2 的命令，以更改聲音設(shè)置或發(fā)送短信，這些命令很可能用于發(fā)送釣魚短信以傳播惡意軟件。

C2 服務(wù)器上的 OCR 掃描結(jié)果，來源：McAfee

暴露的基礎(chǔ)設(shè)施

McAfee 發(fā)現(xiàn)，SpyAgent 行動(dòng)的運(yùn)營(yíng)者在配置服務(wù)器時(shí)沒有遵循正確的安全做法，這才導(dǎo)致研究人員能夠輕易訪問服務(wù)器、管理員面板頁面以及從受害者那里竊取的文件和數(shù)據(jù)。

攻擊者的控制面板，來源：McAfee

被盜圖像會(huì)在服務(wù)器端進(jìn)行處理和 OCR 掃描，然后在管理面板上進(jìn)行相應(yīng)整理，以便于管理和立即用于錢包劫持攻擊。

執(zhí)行圖像 OCR 掃描的代碼，來源：McAfee

如果想降低安卓系統(tǒng)受到此類攻擊的風(fēng)險(xiǎn)，那就不要在 Google Play 以外的渠道下載安裝安卓應(yīng)用程序，因?yàn)槟切┓枪俜角朗菒阂廛浖鞑サ闹饕緩健?/p>

也不要理會(huì)那些鏈接到 APK 下載 URL 的短信，并始終關(guān)閉與應(yīng)用程序核心功能無關(guān)的危險(xiǎn)權(quán)限。另外，定期進(jìn)行 Google Play Protect 掃描，以檢查是否有被檢測(cè)為惡意軟件的應(yīng)用程序也是十分必要的。