Categoría Ciberseguridad Seguridad TIC
Categoría Ciberseguridad / Seguridad / TIC

SpyAgent

SpyAgent – El malware Android que roba frases de recuperación de criptomonedas mediante OCR

Descripción del malware SpyAgent

SpyAgent es un malware para dispositivos Android descubierto por investigadores de McAfee en septiembre de 2024, que utiliza tecnología de reconocimiento óptico de caracteres (OCR) para robar frases de recuperación (seed phrases) de carteras de criptomonedas almacenadas como imágenes en el dispositivo.

Su función principal consiste en extraer de los screenshots las claves mnemotécnicas que permiten restaurar el acceso a wallets de Bitcoin, Ethereum y otras criptomonedas, facilitando así el robo de todos los fondos almacenados.

La historia de SpyAgent se remonta a principios de 2024, cuando comenzó a distribuirse mediante campañas de phishing dirigidas principalmente a usuarios de Corea del Sur, aunque posteriormente se ha observado su expansión hacia el Reino Unido. Se han identificado más de 280 aplicaciones falsas que actúan como vectores de distribución de este malware, simulando servicios gubernamentales, aplicaciones de citas, plataformas de streaming y contenido para adultos.

Aunque actualmente solo afecta a dispositivos Android, los investigadores han encontrado indicios en la infraestructura de comando y control (C2) de que una versión para iOS podría estar en desarrollo.

Lo más destacado de SpyAgent reside en su sofisticada combinación de técnicas de robo de información. El malware no solo exfiltra contactos, SMS y datos del dispositivo, sino que procesa las imágenes robadas en servidores remotos utilizando OCR para identificar automáticamente las frases de recuperación de wallets. Una vez que los atacantes obtienen estas claves, pueden restaurar la cartera en sus propios dispositivos y transferir todos los fondos, operaciones que son irreversibles debido a la naturaleza de las transacciones con criptomonedas.

El malware también ha demostrado capacidad para evolucionar, incorporando comunicaciones mediante WebSocket para evadir la detección y enviando SMS de phishing desde dispositivos infectados para propagarse a nuevos contactos.

Características clave de SpyAgent

1. Robo de frases de recuperación mediante OCR

La característica más distintiva de SpyAgent es su capacidad para extraer frases mnemotécnicas de imágenes mediante tecnología OCR. Los atacantes saben que muchos usuarios, ante la dificultad de recordar las 12-24 palabras que componen una seed phrase, optan por tomar una captura de pantalla y guardarla en el dispositivo. Una vez que el malware exfiltra las imágenes, estas se procesan en servidores remotos con herramientas OCR que identifican y extraen automáticamente las palabras clave, permitiendo a los cibercriminales restaurar las wallets en sus propios dispositivos y vaciar los fondos.

2. Exfiltración masiva de datos del dispositivo

SpyAgent solicita permisos intrusivos durante la instalación para acceder a información sensible del dispositivo. Entre los datos que recopila se encuentran la lista de contactos (para propagar el malware mediante SMS), los mensajes SMS entrantes (incluyendo códigos de un solo uso OTP), las imágenes almacenadas, y datos generales del dispositivo como IMEI y número de teléfono. Toda esta información se envía a un servidor de comando y control (C2) controlado por los atacantes.

3. Capacidad de enviar SMS y control remoto

Una vez instalado, SpyAgent puede recibir comandos del servidor C2 para enviar mensajes SMS desde el dispositivo infectado. Esta capacidad permite a los atacantes utilizar los teléfonos de las víctimas como vectores de propagación del malware, enviando mensajes de phishing (smishing) a los contactos almacenados, lo que aumenta la credibilidad de los mensajes al provenir de números conocidos. También puede modificar la configuración de sonido del teléfono, posiblemente para silenciar notificaciones de alerta.

4. Evolución técnica para evadir detección

El malware ha demostrado capacidad de adaptación técnica. Inicialmente, SpyAgent se comunicaba con el servidor C2 mediante solicitudes HTTP básicas, lo que facilitaba su detección por herramientas de seguridad. En versiones posteriores, ha migrado al uso de conexiones WebSocket, que permiten una comunicación bidireccional en tiempo real más eficiente y resultan más difíciles de detectar para los sistemas de monitorización basados en HTTP. También se ha observado el uso de empacadores como Tencent Packer para ofuscar su carga maliciosa.

5. Distribución mediante aplicaciones falsas y campañas de phishing

SpyAgent se distribuye a través de más de 280 aplicaciones falsas que imitan servicios legítimos. Estas aplicaciones no están disponibles en Google Play Store, sino que se descargan desde sitios web fraudulentos, a los que los usuarios llegan mediante enlaces recibidos por SMS, redes sociales o mensajes directos. Entre las aplicaciones identificadas se incluyen imitaciones de servicios gubernamentales de Corea del Sur y Reino Unido, aplicaciones de citas, plataformas de streaming y contenido para adultos. En el caso de Corea del Sur, se utilizaron aplicaciones que imitaban a la policía, con el nombre de paquete «kpo» para parecer legítimas.

Explicación detallada de las funcionalidades

El proceso de infección de SpyAgent comienza con mensajes de phishing (smishing) que contienen enlaces a sitios web fraudulentos. Estos sitios imitan la apariencia de páginas legítimas y ofrecen la descarga de aplicaciones en formato APK. Al instalar la aplicación falsa, el malware solicita permisos extensivos para acceder a contactos, SMS, almacenamiento y otros datos sensibles. Si el usuario concede estos permisos, el malware establece comunicación con el servidor C2 y comienza la exfiltración de datos.

Las imágenes robadas se procesan en el servidor mediante herramientas OCR, que escanean cada fotografía en busca de frases de 12 a 24 palabras características de las seed phrases de wallets. Una vez identificada una frase de recuperación, los atacantes la utilizan para restaurar la wallet en sus propios dispositivos y transferir todos los fondos a cuentas que controlan. Dado que las transacciones con criptomonedas son irreversibles, las víctimas no pueden recuperar los fondos perdidos.

La infraestructura de SpyAgent presentaba inicialmente fallos de seguridad que permitieron a los investigadores de McAfee acceder a los servidores de los atacantes y confirmar la existencia de múltiples víctimas. Los paneles de administración expuestos mostraban los datos robados organizados para facilitar su explotación, incluyendo secciones específicas para gestionar las frases de recuperación extraídas.

Distribución y alcance de SpyAgent

  • Página oficial del malware: No aplicable (software malicioso)
  • Plataformas afectadas: Android (principalmente); hay indicios de desarrollo para iOS
  • Distribución: Aplicaciones APK falsas descargadas fuera de Google Play, campañas de smishing (SMS) y mensajes en redes sociales
  • Aplicaciones falsas identificadas: Más de 280
  • Principales regiones afectadas: Corea del Sur, Reino Unido (expansión en curso)
  • Protección: Google Play Protect bloquea variantes conocidas; se recomienda evitar la instalación de APKs fuera de la tienda oficial

Cómo protegerse de SpyAgent

Paso 1: Evitar descargas fuera de Google Play

No instales aplicaciones Android desde sitios web de terceros o enlaces recibidos por SMS. Google Play Store cuenta con sistemas de verificación que bloquean la mayoría de las aplicaciones maliciosas.

Paso 2: No almacenar frases de recuperación como imágenes

Nunca tomes capturas de pantalla de las seed phrases de tus wallets de criptomonedas. Utiliza gestores de contraseñas seguros o almacena las frases en papel en un lugar físico seguro.

Paso 3: Revisar los permisos de las aplicaciones

Antes de instalar una aplicación, verifica los permisos que solicita. Desconfía de aplicaciones que piden acceso a contactos, SMS o almacenamiento sin una razón funcional clara.

Paso 4: Activar Google Play Protect

Asegúrate de que Google Play Protect esté activado en tu dispositivo. Esta función analiza automáticamente las aplicaciones instaladas en busca de comportamientos maliciosos.

Paso 5: Desconfiar de mensajes no solicitados

No hagas clic en enlaces de mensajes SMS o redes sociales que promocionen aplicaciones o promociones urgentes, especialmente si provienen de números desconocidos.

Observaciones sobre SpyAgent

La aparición de SpyAgent representa una evolución significativa en las tácticas de robo de criptomonedas. Mientras que los infostealers tradicionales se centraban en robar credenciales de acceso, SpyAgent apunta directamente a las frases de recuperación, que otorgan control total sobre las wallets sin necesidad de contraseñas adicionales. El uso de OCR para analizar imágenes es una técnica relativamente novedosa que explota un hábito común entre los usuarios de criptomonedas: almacenar visualmente sus claves de respaldo.

La expansión observada desde Corea del Sur hacia el Reino Unido y la posible preparación de una versión para iOS indican que los responsables de la campaña están invirtiendo recursos para ampliar su alcance. La capacidad de enviar SMS desde dispositivos infectados también sugiere un modelo de propagación viral que podría acelerar su distribución.

Según el análisis de MITRE ATT&CK, SpyAgent emplea múltiples técnicas de ofuscación y evasión, incluyendo el uso de empacadores para ocultar su código malicioso y el abuso de servicios legítimos como la Tencent Push Notification Service para recibir comandos. También se ha observado su capacidad para detectar aplicaciones anti-spam, lo que indica un nivel de sofisticación que busca evitar la intervención del usuario.

Limitaciones importantes:

  • ❌ Actualmente solo afecta a dispositivos Android, aunque hay indicios de desarrollo para iOS
  • ❌ Se distribuye exclusivamente fuera de Google Play, por lo que usuarios que solo descargan de la tienda oficial tienen menor riesgo
  • ❌ El malware depende de que el usuario conceda permisos durante la instalación
  • ❌ Las víctimas de robo de criptomonedas no pueden recuperar los fondos debido a la naturaleza irreversible de las transacciones blockchain

Si utilizas dispositivos Android y gestionas criptomonedas, mantén Google Play Protect activado, evita instalar aplicaciones fuera de la tienda oficial y, sobre todo, nunca almacenes tus frases de recuperación en forma de capturas de pantalla. La seguridad de tus activos digitales depende de estas precauciones básicas.

Ciberseguridad Telefonía