A lista contém mais de 280 aplicações maliciosas para Android que tentam captar as credenciais de carteiras de criptomoedas. Esta foi uma descoberta dos investigadores da McAfee, destacando que os hackers utilizam um sistema conhecido como OCR (optical character recognition) que converte passwords mostradas em imagens para textos reconhecidos por máquinas.

Como é apontado pelo Ars Technica, estas apps maliciosas mascaram-se das oficiais de bancos, serviços governamentais, plataformas de streaming e outros utilitários. Estas apps vasculham os smartphones infetados para encontrar mensagens de texto, contactos e imagens guardadas, enviando o conteúdo para servidores remotos controlados pelos respetivos hackers.

Roubo de credenciais por OCR
Roubo de credenciais por OCR Créditos: Ars Technica

Estas apps são obtidas a partir de websites maliciosos e distribuídas através de mensagens de phishing enviados aos alvos. Os investigadores salvaguardam que nenhuma destas aplicações parecem ser obtidas a partir da plataforma oficial Google Play, mas sim em páginas externas.

Os investigadores apontam que esta campanha de malware está a utilizar software de reconhecimento ótico de caracteres, mostrando um elevado nível de sofisticação. O objetivo é ter acesso às credenciais das carteiras de criptomoedas que são mostradas em imagens guardadas em equipamentos infetados. A possibilidade de os utilizadores protegerem as suas credenciais com palavras aleatórias, que são mais fáceis de se lembrarem.

Por outro lado, a descoberta deste esquema foi derivado a uma fraca configuração de segurança dos próprios servidores dos hackers que recebem a informação roubada das vítimas. O investigador da McAfee, SangRyol Ryu, conseguiu ter acesso não autorizado aos servidores que guardavam os dados roubados pelas apps maliciosas. Os documentos lidos pelo investigador levaram-no a descobrir imagens com palavras de acesso das credenciais das carteiras de cripto.

Estas imagens são convertidas em texto através das técnicas de OCR, sendo depois processadas do lado dos criminosos através de Python e Javascript. Entre a informação roubada constam contactos, que podem depois ser utilizados para espalhar o malware. Ter acesso a mensagens de SMS, que podem incluir códigos de autenticação de dois fatores e outras informações importantes. Assim como aceder a fotos pessoais ou imagens sensíveis. A informação do equipamento, assim como do sistema operativo, que ajudam a personalizar atividades maliciosas para serem mais eficazes, são também intercetados pela tecnologia.