13 приложений удалены после того, как исследователи обнаружили троянскую схему криптокошелька
Исследования компании ESET, специализирующейся на кибербезопасности, выявили «сложную схему» распространения троянских приложений, замаскированных под популярные криптовалютные кошельки.
Вредоносная схема нацелена на мобильные устройства с операционными системами Android или Apple (iOS), которые становятся скомпрометированными, если пользователь загружает поддельное приложение.
Согласно исследованию ESET, вредоносные приложения распространяются через поддельные веб-сайты и имитируют законные криптовалютные кошельки, включая MetaMask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken и OneKey.
Компания также обнаружила 13 вредоносных приложений, выдающих себя за кошелек Jaxx Liberty, доступный в Google Play Store. Google уже удалил эти приложения, которые были установлены более 1100 раз, но многие из них все еще скрываются на других сайтах и платформах социальных сетей.
Угрожающие лица распространяли свои товары через группы социальных сетей Facebook (признана экстремистской организацией, деятельность которой запрещена в Российской Федерации) и Telegram, намереваясь украсть криптовалютные активы у своих жертв. ESET утверждает, что обнаружила «десятки троянизированных приложений для криптовалютных кошельков», начиная с мая 2021 года. Она также заявила, что эта схема, которая, по ее мнению, является делом рук одной группы, в основном нацелена на китайских пользователей через китайские веб-сайты.
Лукаш Штефанко, исследователь, раскрывший схему, сказал, что существуют и другие векторы угрозы, такие как отправка начальных фраз на сервер злоумышленника с использованием незащищенных соединений, добавив:
«Это означает, что средства жертв могут быть украдены не только оператором этой схемы, но и другим злоумышленником, подслушивающим в той же сети».
Приложения для поддельных кошельков ведут себя немного по-разному в зависимости от того, где они установлены. На Android они нацелены на новую криптовалюту, которой пользователь, возможно, ранее не торговал, предлагая пользователю установить соответствующий кошелек. В то время как на iOS приложения должны быть загружены с использованием произвольных доверенных сертификатов подписания кода, обойдя магазин Apple App Store. Это означает, что у пользователя могут быть одновременно установлены два кошелька — подлинный и троянский, но представляет меньшую угрозу, поскольку большинство пользователей полагаются на проверку приложений в App Store.
ESET советует криптовалютным инвесторам и трейдерам устанавливать кошельки только из надежных источников, которые связаны с официальным сайтом биржи или компании.
В феврале Google Cloud представила систему обнаружения угроз для виртуальных машин (VMTD), которая сканирует и обнаруживает вредоносное ПО «cryptojacking», предназначенное для захвата ресурсов с целью добычи цифровых активов.
Согласно январскому отчету Chainalysis, на криптоджекинг приходится 73% от общей стоимости, полученной кошельками и адресами, связанными с вредоносным ПО, в период с 2017 по 2021 год.