Malware Android SpyAgent Gunakan OCR untuk Curi Kunci Crypto

Pengguna perangkat Android di Korea Selatan kini berada di bawah ancaman serius akibat kampanye malware mobile baru yang dikenal sebagai SpyAgent. Malware ini tidak hanya berfungsi sebagai alat pengintai, tetapi juga mampu mengakses data sensitif seperti pesan teks dan informasi akun. Dengan semakin tingginya ketergantungan pada perangkat mobile, SpyAgent menjadi ancaman yang sangat meresahkan.

Terlebih lagi, serangan ini tampaknya dirancang dengan canggih, memanfaatkan teknik yang dapat mengelabui pengguna dan sistem keamanan yang ada. Keberadaan SpyAgent menunjukkan sebuah perubahan paradigm dalam ancaman keamanan siber, di mana penyerang semakin berfokus pada individu dan data pribadi mereka, sehingga meningkatkan risiko kebocoran informasi yang dapat digunakan untuk kejahatan lebih lanjut

“Malware ini menargetkan kunci mnemonik dengan mengkondisikan gambar di perangkat Anda yang mungkin mengandung kunci tersebut," kata peneliti McAfee Labs, SangRyol Ryu, dalam analisisnya, menambahkan bahwa jangkauan target telah meluas hingga mencakup Inggris.

Kampanye ini memanfaatkan aplikasi Android palsu yang disamarkan sebagai aplikasi perbankan, fasilitas pemerintah, streaming, dan utilitas yang tampak sah untuk menipu pengguna agar menginstalnya. Sebanyak 280 aplikasi palsu telah terdeteksi sejak awal tahun ini.

Semuanya dimulai dengan pesan SMS yang mengandung tautan berbahaya yang mendorong pengguna untuk mengunduh aplikasi tersebut dalam bentuk file APK yang dihosting di situs penipuan. Setelah terinstal, aplikasi tersebut dirancang untuk meminta izin yang invasif guna mengumpulkan data dari perangkat.

Data kontak yang mencakup, pesan SMS, foto, dan informasi perangkat lainnya, akan di eksfiltrasi ke server eksternal yang berada di bawah kendali ancaman pelaku.

Fitur yang paling mencolok adalah kemampuan untuk memanfaatkan pengenalan karakter optik (OCR) untuk mencuri kunci mnemonik, yang Merujuk pada frase pemulihan atau frase benih yang memungkinkan pengguna untuk mendapatkan kembali akses ke dompet cryptocurrency mereka.

Akses tidak sah ke kunci mnemonik tersebut dapat memungkinkan aktor ancaman untuk mengambil alih dompet para korban dan mencuri semua dana yang tersimpan di dalamnya.

McAfee Labs menyatakan bahwa infrastruktur command and control (C2) mengalami kegagalan keamanan yang serius yang tidak hanya memungkinkan navigasi ke direktori root situs tanpa izin, tetapi juga membiarkan data yang terkumpul dari para korban terpapar.

Server tersebut juga menyimpan panel administrator yang berfungsi sebagai pusat kontrol untuk mengendalikan perangkat yang terinfeksi dari jarak jauh. Kehadiran perangkat Apple iPhone yang menjalankan iOS 15.8.2 dengan bahasa sistem diatur ke Bahasa Mandarin Sederhana ("zh") di dalam panel menandakan bahwa ini mungkin juga menargetkan pengguna iOS.

“Awalnya, malware ini berkomunikasi dengan server command and control (C2) menggunakan permintaan HTTP sederhana,” kata Ryu. Meskipun metode ini efektif, namun juga relatif mudah untuk dilacak dan diblokir oleh alat keamanan.

"Dalam perubahan taktis yang signifikan, malware ini kini telah mengadopsi koneksi WebSocket untuk komunikasi. Pembaruan ini memungkinkan interaksi dua arah secara real-time yang lebih efisien dengan server C2 dan membantu menghindari deteksi oleh alat pemantauan jaringan berbasis HTTP tradisional," tambahnya.

Perkembangan ini muncul sedikit lebih dari satu bulan setelah Group-IB mengungkap Remote Access Trojan (RAT) Android lain yang disebut CraxsRAT yang menargetkan pengguna perbankan di Malaysia setidaknya Februari 2024 menggunakan situs phishing. Perlu dicatat bahwa kampanye CraxsRAT juga telah ditargetkan pada Singapura paling lambat pada bulan April 2023.

“CraxsRAT adalah keluarga malware terkenal dari Remote Access Trojan (RAT) Android yang memiliki kemampuan mengontrol perangkat jarak jauh dan spyware, termasuk pencatatan ketikan, melakukan gestur, merekam kamera, layar, dan panggilan,” kata perusahaan Singapura tersebut.

"Korban yang mengunduh aplikasi yang mengandung malware android CraxsRAT akan mengalami kebocoran kredensial dan penarikan dana secara ilegal."