Badanie przeprowadzone przez firmę ESET zajmującą się cyberbezpieczeństwem ujawniło „wyrafinowany schemat”, który rozpowszechnia aplikacje trojańskie podszywające się pod popularne portfele kryptowalut.
Złośliwy schemat atakuje urządzenia mobilne korzystające z systemów operacyjnych Android lub Apple (iOS), które zostają zaatakowane, jeśli użytkownik pobierze fałszywą aplikację.
Nasze najlepsze roboty biznesowe
Według badań ESET te złośliwe aplikacje są dystrybuowane za pośrednictwem fałszywych witryn internetowych i imitują legalne portfele kryptograficzne, w tym MetaMask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken i OneKey.
Firma wykryła również 13 szkodliwych aplikacji podszywających się pod portfel Jaxx Liberty, dostępnych w sklepie Google Play. Od tego czasu Google usunęło obraźliwe aplikacje, które zostały zainstalowane ponad 1100 razy, ale wciąż jest ich o wiele więcej na innych stronach internetowych i platformach społecznościowych.
Oszuści rozpowszechniali swoje towary za pośrednictwem grup mediów społecznościowych na Facebooku i Telegramie, zamierzając ukraść aktywa kryptograficzne swoich ofiar. Firma ESET twierdzi, że odkryła „dziesiątki strojanizowanych aplikacji portfela kryptowalut” z maja 2021 r. Stwierdziła również, że schemat, który według niego jest dziełem jednej grupy, był skierowany głównie do chińskich użytkowników za pośrednictwem chińskich stron internetowych.
Lukáš Štefanko, badacz, który rozwikłał schemat, powiedział, że istnieją inne wektory zagrożeń, takie jak wysyłanie fraz źródłowych do serwera atakującego za pomocą niezabezpieczonych połączeń, dodając:
„Oznacza to, że fundusze ofiar mogą zostać skradzione nie tylko przez operatora tego programu, ale także przez innego atakującego podsłuchującego w tej samej sieci”.
Fałszywe aplikacje portfela zachowują się nieco inaczej w zależności od tego, gdzie są zainstalowane. Na Androidzie celuje w nową kryptowalutę, której użytkownik mógł wcześniej nie handlować, co skłania użytkownika do zainstalowania odpowiedniego portfela. W systemie iOS aplikacje należy pobierać za pomocą arbitralnych zaufanych certyfikatów do podpisywania kodu, które znajdują się w Apple App Store. Oznacza to, że użytkownik może mieć jednocześnie zainstalowane dwa portfele, oryginalny i trojana, ale stanowi mniejsze zagrożenie, ponieważ większość użytkowników polega na weryfikacji aplikacji w App Store.
Związane z: Hodlers strzeżcie się! Nowe złośliwe oprogramowanie atakuje MetaMask i 40 innych portfeli kryptograficznych
Firma ESET doradza inwestorom i inwestorom zajmującym się kryptowalutami, aby instalowali portfele wyłącznie z zaufanych źródeł, które są połączone z oficjalną stroną internetową giełdy lub firmy.
W lutym firma Google Cloud zaprezentowała system Virtual Machine Threat Detection (VMTD), który skanuje i wykrywa złośliwe oprogramowanie „cryptojacking” zaprojektowane w celu przejęcia zasobów w celu wydobywania zasobów cyfrowych.
Według styczniowego raportu Chainalysis, cryptojacking stanowił 73% całkowitej wartości otrzymanej przez portfele i adresy związane ze złośliwym oprogramowaniem w latach 2017-2021.
Czytaj dalej Cointelegraph