Le frasi prelevate contengono all’incirca 12-24 parole e sono chiavi di backup. Dunque, quest’ultime consentono di ripristinare l’accesso al portafoglio di criptovalute appartenenti agli utenti colpite. Ottenendo tali informazioni, i cybercriminali possono accedere a tutti i fondi presenti nei portafogli, ripristinandoli su altri dispositivi. In questo modo sarò possibile rubare tutte le criptovalute possedute dalle vittime dell’attacco.
Dopo aver infettato il dispositivo su cui è stata installata una delle app con SpyAdent, il malware invia al server di comando e controllo una serie di informazioni sensibili. Tra cui SMS
in arrivo, come quelli contenenti password monouso, immagini salvate sul dispositivo ed anche i contatti della vittima. Quest’ultima informazioni viene prelevata, probabilmente, per poter distribuire il malware anche attraverso l’invio di SMS che vengono inviati da “contatti fidati”. Le immagini invece vengono prelevate per effettuare la scansione OCR.È importante sottolineare, come riportato dai ricercatori di McAfee, che le applicazioni Android coinvolte sono tutte distribuite fuori dal Google Play Store. Al momento, sembra che gli attacchi riguardino soprattutto la Corea del Sud. Di recente, sono però stati segnali anche alcuni casi nel Regno Unito.
In ogni caso, è fondamentale procedere con cautela e stare attenti a cosa si installa sui propri dispositivi. A tal proposito è consigliabile evitare di installare app Android che non provengono dal Google Play Store. In questo modo è possibile ridurre le possibilità che SpyAgent, così come altri malware, possano arrivare sui propri smartphone.