Android-Malware: SpyAgent stiehlt Zugangsdaten zu Krypto-Wallets

Inhaltsverzeichnis

Eine neu entdeckte Malware für Googles mobiles Betriebssystem Android setzt auf optische Zeichenerkennung zum Klauen von Bitcoin & Co. Die SpyAgent getaufte Schadsoftware verwendet Optical Character Recognition (OCR), um Wiederherstellungsphrasen für Wallets zum Aufbewahren von Kryptowährungen aus Screenshots ausfindig zu machen, die Nutzer auf ihrem Mobiltelefon oder Tablet gespeichert haben.

Angreifer können damit einfach die digitalen Brieftaschen kapern und die darin enthaltenen Krypto-Tokens stehlen.

Wörterabfolge soll einfacher sein als Master-Key

Mnemonische Phrasen sind Gedächtnisstützen, die in der Regel aus 12 bis 24 Wörtern bestehen. Sie werden verwendet, um den Zugriff auf eine E-Wallet und alle darauf gespeicherten Kryptowerte wiederherzustellen, falls ein Nutzer ein Gerät verliert, Daten beschädigt werden oder die virtuelle Geldbörse auf ein neues Gerät übertragen werden soll.

Die bei der Anlage einer Wallet festgelegte Phrase ist prinzipiell schon einfacher zu merken als der typische, komplexe Master-Key mit Zugang zu allen privaten Schlüsseln des Systems, für den sie steht. Doch vielen Anwendern fällt es auch schwer, sich die wichtige Wörterabfolge einzuprägen.

Bequemlichkeit mit drastischen Folgen

Daher empfehlen Wallet-Anbieter oft, die Phrase zu speichern oder auszudrucken und an einem sicheren Ort zu bewahren. Aus Bequemlichkeit machen manche User ein Bildschirmfoto von diesen Zugangsdaten und speichern es auf ihrem Mobilgerät.

Auf diese Screenshots habe es SpyAgent abgesehen und werte sie direkt im Anschluss automatisiert aus, schreibt die IT-Sicherheitsfirma McAfee in einem Blogbeitrag. Die Malware tarnt sich demnach als angeblich vertrauenswürdige App etwa von Bank- und Behördendiensten oder Dating-, Porno- und Streaming-Portalen.

SpyAgent kursiert vor allem in Südkorea und Großbritannien

Die Anwendungen werden dem Bericht zufolge vor allem per Phishing-Mails verbreitet, derzeit hauptsächlich in Südkorea und Großbritannien. Nach der Installation sammeln die Fake-Apps heimlich Textnachrichten, Kontakte und alle gespeicherten Bilder und senden sie an Auswertungsserver. Sie lenken Nutzer dabei oft mit endlosen Ladebildschirmen, unerwarteten Weiterleitungen oder kurzen leeren Screens ab, um ihre wahren Aktivitäten zu verbergen.

Das Mobilforscher-Team von McAfee hat nach eigenen Angaben über 280 bedrohliche Anwendungen identifiziert, die an diesem Betrugsschema beteiligt sind. Sobald SpyAgent ein neues Gerät infiziert hat, sendet das Programm vertrauliche Informationen an Command-and-Control-Server (C2). Dazu gehören die Kontaktliste des Opfers zur weiteren Verbreitung, eingehende SMS auf der Suche nach Einmal-Passwörtern sowie auf dem Gerät gespeicherte Bilder für OCR-Scans.

Dazu kommen allgemeine Geräteinformationen, die helfen sollen, die Angriffe zu optimieren. Die Malware kann auch Befehle vom C2 empfangen, um die Toneinstellungen zu ändern oder selbst SMS zu senden.

Die IT-Sicherheitsexperten stellten bei mehreren C2-Servern nachlässige Sicherheitskonfigurationen fest, was einen unbefugten Zugriff auf bestimmte Indexseiten und Dateien ohne Angabe von Anmeldeinformationen ermöglichte. So konnten die Forscher auf die Seiten des Admin-Bereichs sowie auf die von den Opfern entwendeten Dateien zugreifen.

iPhone-Variante könnte in der Mache sein

Kopierte Bilder werden demnach serverseitig verarbeitet, per OCR gescannt und dann entsprechend im Admin-Panel organisiert, um eine einfache Verwaltung und sofortigen Einsatz bei Wallet-Hijacking-Angriffen zu erlauben. Das Team entdeckte zudem eine mit "iPhone" gekennzeichnete Datei, sodass die nächste Entwicklungsstufe der Malware auf iOS-Nutzer abzielen könnte.

Bereits im Juli 2023 machte Trend Micro laut Bleeping Computer zwei Android-Malware-Familien namens CherryBlos und FakeTrade ausfindig, die über den Google Play Store verbreitet wurden und ebenfalls OCR verwendeten, um Kryptowährungsdaten aus extrahierten Bildern zu stehlen. Diese Taktik scheine bei Cyberkriminellen so in Mode zu kommen.

(nen)