شرکت مک‌آفی یک بدافزار (SpyAgent) جدید اندرویدی را کشف کرده که می‌تواند با استفاده از فناوری تشخیص کاراکتر بصری (OCR) عبارات بازیابی کیف‌پول ارزهای دیجیتال را از اسکرین‌شات‌های ذخیره شده استخراج و به سرقت ببرد.

کیف‌پول‌های ارزدیجیتال کلمات بازیابی (seed) ۱۲ تا ۲۴ عددی دارند که به کاربران امکان بازیابی کیف‌پول را می‌دهند. کاربرد این کلمات بازیابی برای انتقال کیف‌پول به دستگاه جدید، گم شدن دستگاه یا خراب شدن داده‌ها کاربرد دارند. با این حال دسترسی به این کلمات به معنی دسترسی مستقیم به کیف‌پول و امکان انتقال موجودی است.

بدافزار SpyAgent با کمک فناوری تشخیص کاراکتر نوری (OCR) می‌تواند با بررسی تصاویر ذخیره شده کاربر به کلمات بازیابی (seed) دسترسی و این کلمات را به سرور هکر منتقل کند. به این ترتیب هکر امکان دسترسی کامل به کیف‌پول را به دست می‌آورد و اقدام به سرقت موجودی کاربران می‌کند.

معمولا در هنگام ساخت کیف‌پول ارزدیجیتال (غیرحضانتی) این کلمات به کاربر نمایش و هشدارهای لازم داده می‌شود. حتی در برخی کیف‌پول‌ها امکان گرفتن اسکرین‌شات از این صفحه به دلیل امنیت وجود ندارد. با این حال بسیاری از افراد همچنان از کلمات بازیابی خود عکس تهیه و در دستگاه یا پیام‌رسان‌ها ذخیره می‌کنند.

این بدافزار توسط شرکت امنیت سایبری McAfee کشف شده است و گفته شده در حال حاضر بیشتر روی کشورهایی مانند کره‌جنوبی و بریتانیا متمرکز است. با این حال نحوه آلوده‌شدن به این بدافزار همچنان مانند دیگر روش‌های مرسوم و از طریق لینک‌های آلوده اتفاق می‌افتد.

در سال ۲۰۲۳ دو بدافزار دیگر به نام‌های CherryBlos و FakeTrade که از گوگل‌پلی منتشر شده بودند با استفاده از همین روش (OCR) داده‌های کاربران را به سرقت بردند و با اضافه شدن SpyAgent به این لیست به نظر می‌رسد استفاده از این روش در حال افزایش است.