Angesichts der zunehmenden Bedeutung von Kryptowährungen im digitalen Zeitalter gewinnt auch der Schutz der dafür notwendigen Sicherheitsmechanismen immer mehr an Bedeutung. Besonders sensibel sind die sogenannten Wiederherstellungsphrasen (Seed-Phrasen), die zum zentralen Backup-Zugang vieler Krypto-Wallets dienen. Angreifer sind daher bestrebt, Zugriff auf diese wertvollen Informationen zu erlangen. Eine erschreckende neue Bedrohung kommt nun vom SpyAgent Android-Malware-Familie, die mithilfe moderner optischer Zeichenerkennung (OCR) gezielt an Krypto-Wiederherstellungsphrasen gelangt – und das aus Bildern und Screenshots, die Nutzer auf ihren Handys gespeichert haben. SpyAgent ist eine gefährliche Schadsoftware, die auf Android-Geräten operiert.
Entwickelt wurde sie mit einem ausgeklügelten Ansatz, um Screenshots und gespeicherte Fotodateien nach 12 bis 24 Wörter umfassenden Wiederherstellungsphrasen zu durchsuchen. Diese Phrasen sind essenziell für den Zugang und die Wiederherstellung von Kryptowährung-Wallets und ermöglichen es einem Angreifer, Wallets zu übernehmen und Vermögenswerte unbemerkt zu stehlen. Die Methode ist besonders perfide, weil viele Nutzer trotz Warnungen dazu neigen, ihre Wiederherstellungsphrasen als Screenshot zu speichern, um später schnellen Zugriff zu haben oder sie nicht mühsam abtippen zu müssen. Die Gefahr wird dadurch verstärkt, dass SpyAgent über infizierte Android-Anwendungen verbreitet wird, die auf den ersten Blick harmlos oder sogar nützlich erscheinen können. Häufig geben sich diese Apps als Angebote von Regierungsdiensten in Südkorea und Großbritannien aus oder zeigen sich als Dating- oder Pornoseiten.
Durch ihre scheinbare Glaubwürdigkeit verleiten sie Nutzer dazu, die Apps zu installieren und ihnen weitreichende Berechtigungen zu gewähren. Dadurch erhält die Malware umfangreichen Zugriff auf Telefonfunktionen, Kontakte, eingehende SMS und eben gespeicherte Bilder. Einmal installiert, überwacht SpyAgent die Bildergalerie und wertet diese systematisch per OCR aus. Dabei werden alle Texte in den Bildern eingelesen und analysiert, wobei die Wiederherstellungsphrasen als besonders wertvolle Informationen priorisiert werden. Die erfassten Daten werden dann an die Command-and-Control-Server (C2) der Angreifer übermittelt.
Auffällig ist, dass die Betreiber der SpyAgent-Kampagne anscheinend nachlässig mit ihren Server-Infrastrukturen umgehen. Sicherheitsforscher von McAfee konnten durch unsichere Serverkonfigurationen leicht auf Administrationspanels und die von Opfern gestohlenen Daten zugreifen. Diese Nachlässigkeit gibt Hinweise darauf, wie die Angreifer ihre Operationen organisieren und im Hintergrund koordinieren. Die Malware sammelt neben Bildern auch umfangreiche weitere Informationen. Dazu gehören Kontaktlisten, mit dem Ziel, sich über infizierte Geräte verbreiten zu können, zum Beispiel indem gefälschte SMS-Nachrichten an Kontakte verschickt werden.
Gleichfalls werden eingehende SMS mit Einmal-Passwörtern ausgelesen, um mögliche Zwei-Faktor-Authentifizierungen zu umgehen. Auch allgemeine Geräteinformationen werden gesammelt, um Angriffe zu optimieren und die Effizienz der Malware zu steigern. Die Verbreitung von SpyAgent ist nicht nur regional beschränkt. Der Fokus liegt zunächst auf Südkorea, aufgrund der regional verteilten APKs (Android Application Package). Doch es gibt bereits Anzeichen für eine langsame Ausweitung nach Großbritannien sowie mögliche Entwicklungen einer iOS-Variante für Apple-Geräte.
Dies zeigt, dass die Entwickler der Malware ihre Angriffsmöglichkeiten kontinuierlich erweitern und an neue Zielgruppen anpassen. Die gezielte Nutzung von OCR-Technologie ist kein unwesentlicher Trend mehr in der Malwarelandschaft. Bereits 2023 wurden ähnliche Android-Malwarefamilien wie CherryBlos und FakeTrade bekannt, die auf vergleichbare Weise an sensible Krypto-Daten aus Bildern gelangen. Der Einsatz solcher Techniken macht es für Nutzer besonders schwierig, sich zu schützen, da die Gefahr im Verborgenen operiert und ihre Methoden auf scheinbar harmlosen Geräten nicht leicht zu erkennen sind. Neben der Malware-Verbreitung über nicht-offizielle APK-Quellen spielen auch gefälschte SMS und soziale Medien eine wesentliche Rolle bei der Verbreitung.
Nutzer sollten daher besonders vorsichtig sein bei Nachrichten, die zum Herunterladen und Installieren von Apps außerhalb des Google Play Stores auffordern. Auch sollten verdächtige SMS-Links überhaupt nicht angeklickt werden. Solche einfache Vorsichtsmaßnahmen können bereits einen wirksamen Schutz gegen den Angriff von SpyAgent bieten. Für den Schutz der eigenen Kryptowährungen empfiehlt es sich weiterhin, die Wiederherstellungsphrasen keinesfalls digital zu speichern, weder als Screenshot noch per Cloud-Backup. Stattdessen ist es ratsam, diese Phrasen schriftlich aufzubewahren und sicher zu verwahren, beispielsweise in einem Tresor oder an einem anderen physisch sicheren Ort.
Auch die Verwendung von Hardware-Wallets bietet einen zusätzlichen Schutz gegen Angriffe, da die sensiblen Schlüssel dabei nicht auf dem Smartphone gespeichert und somit für Malware unerreichbar sind. Darüber hinaus sollte jeder Nutzer seine Android-Berechtigungen kritisch überprüfen und unnötige Berechtigungen bei Apps entfernen. Anwendungen, die auf SMS, Kontakte oder Speicher zugreifen, sollten nur nach genauer Prüfung zugelassen werden. Auch regelmäßige Updates des Betriebssystems sowie die Nutzung von Sicherheitslösungen wie Google Play Protect sind wichtig, um bekannte Malware-Varianten frühzeitig zu erkennen und zu blockieren. Die Erkenntnisse über die SpyAgent-Malware unterstreichen die wachsende Wichtigkeit von Sicherheit im Bereich Kryptowährung.
Während die Blockchain-Technologie selbst als sicher gilt, ermöglicht gerade die Handhabung von Wiederherstellungsphrasen durch die Nutzer diverse Angriffsmöglichkeiten. Bedrohungen wie SpyAgent zeigen, dass kombinierte Cyberangriffe, die technische Mittel wie OCR nutzen, immer ausgeklügelter und gefährlicher werden. Auch Sicherheitsforscher und Entwickler von Wallet-Anwendungen stehen vor großen Herausforderungen. Es gilt, Wallets zu entwickeln, die Anwender dazu befähigen, ihre Wiederherstellungsphrasen sicher zu speichern, ohne parallel für andere Vektoren anfällig zu sein. Gleichzeitig müssen Betriebssystemhersteller und App-Store-Betreiber ihre Schutzmechanismen weiter verbessern, um Schadsoftware wie SpyAgent frühzeitig zu erkennen und deren Verbreitung zu verhindern.
