SpyAgent 악성코드, 암호화폐 지갑 노리고 스크린샷 탈취
SpyAgent malware targets crypto wallets by stealing screenshots
안드로이드에서 새로운 악성코드인 SpyAgent가 유포되며 사용자들의 암호화폐 복구 구문을 노리고 있습니다. 이 악성코드는 광학 문자 인식(OCR) 기술을 활용해 사용자 기기에 저장된 스크린샷에서 복구 구문을 찾아내고 있습니다.
그들의 공격방식은 아래와 같습니다.
A new Android malware strain known as SpyAgent is making the rounds — and stealing screenshots as it goes. Using optical character recognition (OCR) technology, the malware is after cryptocurrency recovery phrases often stored in screenshots on user devices.
Here’s how to dodge the bullet.
공격자들이 (스크린) 샷을 찍습니다.
공격은 피싱 문자 메시지로 시작됩니다. 사용자는 정부 서비스나 다른 합법적인 앱처럼 보이는 파일을 다운로드하라는 메시지를 받습니다. 이를 설치하게 되면 SpyAgent가 기기에 침투해 활동을 시작합니다.
목표는 과연 누구일까요? 악성코드의 목표는 암호화폐 지갑의 복구 구문이 담긴 스크린샷입니다. 복구 구문은 일반적으로 12~24개의 단어로 구성되며, 기억하기 어렵기 때문에 많은 사용자가 이를 스크린샷으로 저장해둡니다. 공격자가 이 스크린샷을 탈취하면, 해당 구문을 통해 지갑을 복구하고, 자산을 원하는 주소로 전송할 수 있습니다. 암호화폐 특성상 한 번 이체된 자산은 되돌릴 수 없어, 피해자는 자금을 돌려받기 매우 어렵습니다.
사용자가 복구 구문을 스크린샷으로 저장하고 SpyAgent에 의해 도난당한 경우, 공격자는 지갑을 복구하고 원하는 주소로 자금을 이체하기만 하면 끝납니다.
Coin Telegraph에 의하면, 현재 대한민국에서 활발히 유포 중인 이 악성코드는, 280개 이상의 APK 파일이 감염된 것으로 보고되었습니다. 이 앱들은 SMS나 소셜 미디어 링크를 통해 공식 Google Play 스토어가 아닌 곳에서 배포되며, 한국과 영국의 정부 서비스를 모방하거나, 데이팅 앱, 성인 콘텐츠 앱으로 위장한 경우가 많습니다.
또한 공격자들이 영국으로 확장할 계획을 세우고 있는 정황이 포착되어, 피해 규모가 더 커질 가능성이 있습니다. 현재는 안드로이드 기기만을 타깃으로 하고 있지만, iOS 버전도 개발 중일 가능성이 제기되고 있어 더욱 주의가 필요합니다.
Attackers shooting their (screen) shot
Attacks start — as always — with phishing efforts. Users receive text messages prompting them to download seemingly legitimate apps. If they take the bait and install the app, the SpyAgent malware gets to work.
Its target? Screenshots of the 12-24-word recovery phrases used for cryptocurrency wallets. Since these phrases are too long to easily remember, users often take screenshots for future reference. If attackers compromise these screen captures, they can recover crypto wallets to the device of their choosing, allowing them to steal all the digital currency they contain. And once funds are gone, they’re gone — the nature of cryptocurrency protocols means that when transactions are completed, they can’t be reversed. If money is sent to the wrong address, senders must ask recipients to create and complete a return transaction.
If users screenshot their recovery phrase and have it stolen by SpyAgent, attackers need only recover the wallet and transfer funds to the destination of their choice.
The malware has been making the rounds in South Korea, with more than 280 APKs affected, according to Coin Telegraph. These applications are distributed outside the official Google Play store, often using SMS messages or social media posts to capture user interest. Some of the infected apps mimic South Korean or UK government services, while others appear to be dating or adult content applications.
There are also indications that attackers may be preparing to expand into the United Kingdom, which could, in turn, lead to more widespread compromise. And while the malware is currently Android-only, there are signs that an iOS version may be in development.
암호화폐를 넘어: 스크린샷 탈취의 잠재적 위험
SpyAgent 악성코드는 주로 암호화폐 복구 구문을 노리지만, OCR(광학 문자 인식) 기술을 활용하기 때문에 단순한 암호화폐 외에도 다양한 스크린샷이 표적이 될 수 있습니다. 예를 들어, 회사 기기에 저장된 데이터베이스나 분석 도구의 사용자명과 비밀번호가 포함된 스크린샷이 유출되면, 회사의 중요한 자산이 위험에 처할 수 있습니다. 한 예로, 다양한 보안 서비스에 접근할 수 있는 관리자가 있다고 가정해 봅시다. 이 관리자는 각 서비스마다 다른 비밀번호를 사용해 보안을 강화하려고 하지만, 모든 비밀번호를 기억하기 어려워 스크린샷으로 저장해둘 수 있습니다. 기기가 안전하다고 믿고, 회사에서는 다중 인증(MFA)과 보안 싱글 사인온(SSO)을 사용하고 있기 때문에 스크린샷이 위험하다고 생각하지 않을 수 있습니다.
그러나 만약 공격자가 관리자에게 악성 앱을 설치하게 만들면, 공격자는 이 저장된 스크린샷을 탈취하고 이를 통해 쉽게 계정에 접근할 수 있습니다.
개인 사용자들도 마찬가지입니다. 건강 정보나 금융 정보를 스크린샷으로 저장해둔 경우, 이 데이터가 유출되면 신원 도용이나 데이터 유출의 피해를 입을 수 있습니다. 또한, 사업 파트너나 고위 임원의 연락처 정보가 담긴 스크린샷이 유출되면, 이를 이용해 추가적인 피싱 공격이 발생할 위험도 있습니다.
이러한 스크린샷 탈취 공격은 보안 팀에게 두 가지 큰 문제를 제기합니다. 첫째는 탐지 시간입니다. IBM의 2024년 데이터 유출 비용 보고서에 따르면, 기업이 데이터 유출 사고를 탐지하고 대응하는 데 평균 258일이 소요됩니다. 하지만 이 수치는 보안 시스템이 원활하게 작동할 때의 이야기입니다. 만약 사용자의 부주의로 모바일 기기가 감염되고, 악성코드가 주로 스크린샷을 표적으로 삼는다면, 이 문제는 더 오랜 시간 동안 탐지되지 않을 가능성이 큽니다. 특히 공격자가 시간을 두고 천천히 움직인다면 더욱 그렇습니다.
둘째, 피해 규모입니다. 공격자가 탈취한 자격 증명으로 주요 서비스에 접근하면, 계정 소유자를 잠그고 시스템을 장악할 수 있습니다. 이후에는 다양한 IT 시스템에서 데이터를 수집하고 외부로 유출할 수 있으며, 이 시점에서 보안 팀이 경고를 받게 되더라도 대응은 사후 대처에 그칠 수밖에 없습니다. 즉, 공격 자체를 막기보다는 피해를 최소화하는 데 집중해야 하는 상황이 됩니다.
Beyond cryptocurrency: Potential risks of sneaky screenshot steals
While cryptocurrency recovery phrases are the top priority for SpyAgent, using OCR tech means that any picture is up for grabs. For example, if business devices have screenshots of usernames and passwords for databases or analytics tools, company assets could be at risk. Consider a manager with access to multiple secure services, each requiring a unique password to help reduce compromise risk. In an effort to keep passwords safe but still have them available on-demand, our well-meaning manager makes a list and takes a screenshot of their different credential combinations. Because they believe their device is secure, the company is using solutions such as multi-factor authentication (MFA) and secure single sign-on (SSO), and they don’t see their screenshot as a risk.
If hackers convince them to click through and download infected applications, however, attackers can view and steal saved image data and then use this data to “legitimately” gain account access.
Another potential risk comes from personal data. Users may have screenshots of personal health or financial data, which puts them at risk of data exfiltration and identity fraud. They might also have confidential contact details for business partners or executives, opening the door to another round of phishing attacks.
This picture-based approach to compromise creates two problems for security teams. First is the time required for detection. It takes businesses 258 days on average to detect and contain an incident, as noted by the IBM 2024 Cost of a Data Breach Report. But this number only applies if security is firing on all cylinders. If mobile devices are compromised by user actions, and the malware’s sole purpose is to find and steal screenshots, the issue could go unnoticed for far longer, especially if attackers bide their time.
Once criminals make the move to strike, meanwhile, the damage may be significant. Using stolen credentials, attackers can gain access to critical services and lockout account owners. From there, they can capture and exfiltrate data across a host of IT systems and services. While this direct action will alert IT teams, security response is naturally reactionary, meaning companies can’t avoid the attack; they mitigate the damage.
총알 피하기
핵심 메시지는 간단합니다: 휴대폰에 저장된 모든 것이 완전히 안전하지 않다는 것입니다. 암호화폐 복구 비밀번호, 회사의 로그인 정보와 비밀번호, 개인적인 정보(예: 사회보장번호나 은행 계좌 정보) 등은 모두 공격자에게 매우 중요한 표적이 됩니다.
총알을 피하려면 유혹에 넘어가지 않는 것이 중요합니다. 예기치 않은 문자 메시지에 응답하지 말고, 인증된 앱 스토어를 통해서만 앱을 다운로드하세요. 또한, 기기 안전을 위한 예방 조치도 필요합니다. 항상 연결된 상태인 기기들이 완전한 안전을 보장할 수는 없습니다. 기기에 저장된 정보가 적을수록 더 안전하다는 것을 명심하세요.
사용자는 구글 플레이 스토어에서만 앱을 다운로드해 기기를 안전하게 유지할 수 있습니다. 플레이 스토어 외부에서 다운로드한 앱은 그 안전성이나 보안에 대해 보장이 없습니다. 일부 앱은 구글의 검수를 통과하지 못한 무해한 앱일 수 있지만, 다른 앱은 공식 앱의 유사본으로 숨겨진 악성 파일이나 명령을 포함하고 있을 수 있습니다. 또 일부는 악성코드를 설치하고 C2(명령 및 제어) 서버와 연결되는 경로일 수도 있습니다.
또한 기업은 보안 자동화와 AI 보안 도구를 도입하여 더 효과적으로 대응할 수 있습니다. 이러한 솔루션은 겉보기엔 무해한 행동 패턴을 포착하고 상관 관계를 분석하여 침해 지표(IoC)를 찾습니다. IBM 데이터에 따르면, AI와 자동화를 적극적으로 활용한 기업들은 데이터 유출을 글로벌 평균보다 98일 더 빨리 탐지하고 차단할 수 있었습니다.
나, 스파이
현재 SpyAgent 악성코드는 대한민국에서 활발히 활동 중이며, 암호화폐 복구 비밀번호를 탈취하고 기업들이 더 큰 규모의 데이터 유출 위험에 처하게 하고 있습니다.
가장 좋은 방어책은? 스크린샷을 최소화하고, 비정상적인 앱에 의심을 품으며, 뛰어난 지능형 보안 솔루션을 활용하는 세 가지 전략입니다.
Dodging the bullet
The message here is simple: If it’s on your phone, it’s never entirely safe. Screenshots of crypto recovery passwords, corporate logins and passwords or personal data such as Social Security numbers or bank account details are valuable targets for attackers.
Dodging the bullet also means not taking the bait — don’t respond to unsolicited texts and only download apps through approved app stores. It also means taking precautions. The always-connected nature of devices means that complete safety is an illusion. The less stored on a device, the better.
Users can keep devices safe by sticking to the official Google Play Store. Applications downloaded outside of the Play Store come with no guarantees about their safety or security. Some are benign apps that haven’t passed Google’s screening process. Others are near-duplicates of official applications that contain hidden files or commands. And some are simply vehicles to install malware and connect with command and control (C2) servers.
In addition, companies can benefit from the deployment of security automation and AI security tools. These solutions are capable of capturing and correlating patterns of behavior that may appear benign but are collective indicators of compromise (IoCs). As noted by IBM data, businesses that extensively used AI and automation were able to detect and contain breaches 98 days faster than the global average.
I, Spy
The SpyAgent malware is now skulking around South Korea, stealing screenshots to capture crypto recovery passwords, and putting companies at risk of larger-scale data compromise.
The best defense? A trifecta of sparing screenshot saves, suspicion about off-brand apps and the deployment of superior intelligence solutions.
https://securityintelligence.com/articles/spyagent-malware-targets-crypto-wallets-stealing-screenshots/
crypto crime | OCR | SpyAgent | Cryptocurrency | Malware