Eine neue Malware wurde für Googles mobiles Betriebssystem Android entdeckt. Sie setzt auf optische Zeichenerkennung zum Klauen von Bitcoin & Co. Die Schadsoftware hat den Namen "SpyAgent" erhalten und verwendet Optical Character Recognition (OCR), um Wiederherstellungsphrasen für Wallets zum Aufbewahren von Kryptowährungen aus Screenshots ausfindig zu machen, die Nutzer auf ihrem Mobiltelefon oder Tablet gespeichert haben.

Die IT-Sicherheitsfirma McAfee schreibt in einem Blogbeitrag, dass SpyAgent es auf Screenshots, auf denen Wiederherstellungsphrasen für Wallets sind, abgesehen und werte sie direkt im Anschluss automatisiert aus. Als angeblich vertrauenswürdige App wie von Bank- und Behördendiensten oder Dating-, Porno- und Streaming-Portalen tarnt sich die Malware.

Laut Bericht werden die Anwendungen vor allem per Phishing-Mails verbreitet, derzeit hauptsächlich in Südkorea und Großbritannien. Die Fake-Apps sammlen nach der Installation heimlich Textnachrichten, Kontakte und alle gespeicherten Bilder und senden sie an Auswertungsserver. Dabei lenken sie Nutzer oft mit endlosen Ladebildschirmen, unerwarteten Weiterleitungen oder kurzen leeren Screens ab, um ihre wahren Aktivitäten zu verbergen.

McAfee hat nach eigenen Angaben über 280 bedrohliche Anwendungen identifiziert, die an diesem Betrugsschema beteiligt sind. SpyAgent sendet vertrauliche Informationen an Command-and-Control-Server (C2), sobald es ein neues Gerät infiziert hat. Die Kontaktliste des Opfers gehört unter anderem dazu und wird zur weiteren Verbreitung genutzt. Zudem sucht sie nach eingehenden SMS mit Einmal-Passwörtern und auf dem Gerät gespeicherte Bilder für OCR-Scans. Allgemeine Geräteinformationen kommen dazu, um die Angriffe optimieren zu können. SpyAgent kann auch Befehle vom C2 empfangen, um die Toneinstellungen zu ändern oder selbst SMS zu senden.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE