Pesquisadores da McAfee descobriram uma nova campanha de malware chamada SpyAgent, que visa roubar credenciais de criptomoedas de usuários de Android por meio de técnicas de reconhecimento de imagem. O malware foi projetado para identificar chaves de criptografia armazenadas em imagens salvas no dispositivo. Essas chaves, que consistem em uma sequência de 12 palavras, são usadas para recuperar carteiras de criptomoedas, tornando-as um alvo valioso para cibercriminosos.

Disfarçado como aplicativos legítimos, como bancos, serviços governamentais e até plataformas de streaming, o SpyAgent engana os usuários e, uma vez instalado, começa a coletar dados sigilosos. Além de acessar imagens, o malware também envia mensagens de texto, contatos e outras informações armazenadas no dispositivo para servidores controlados pelos invasores. Enquanto a interface do aplicativo exibe telas de carregamento ou erros para distrair o usuário, o SpyAgent opera silenciosamente em segundo plano.

Desde janeiro de 2024, o SpyAgent tem como principal alvo usuários na Coreia do Sul. A McAfee identificou mais de 280 aplicativos falsos envolvidos nessa campanha. Os produtos de segurança móvel da McAfee já estão configurados para detectar e bloquear essa ameaça, protegendo os dispositivos contra essas atividades maliciosas.

O malware é distribuído principalmente por meio de campanhas de phishing, onde os usuários são induzidos a clicar em links maliciosos enviados por mensagens de texto ou redes sociais. Esses links levam a sites falsos que se parecem com páginas legítimas, induzindo os usuários a baixar o arquivo APK infectado. Durante a instalação, o SpyAgent solicita permissões de acesso a mensagens, contatos e imagens, disfarçando essas solicitações como necessárias para o funcionamento do aplicativo.