Badacze bezpieczeństwa cybernetycznego ze słowackiej firmy ESET odkryli kolejne warstwy wyrafinowanego oszustwa kryptowalutowego, którego celem są użytkownicy z Chin.
Oszuści stworzyli podróbki legalnych aplikacji portfela cyfrowego na Androida i iOS, aby przekierować środki kryptowaluty. ESET:
Te złośliwe aplikacje były w stanie ukraść tajne frazy źródłowe ofiar, podszywając się pod Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket lub OneKey.
— powiedział starszy badacz w słowackiej firmie zajmującej się cyberbezpieczeństwem ESET, Lukáš Štefanko. Aplikacje koni trojańskich atakowały użytkowników Androida bez prawdziwej aplikacji. Z kolei użytkownicy iOS mogli instalować autentyczne i fałszywe aplikacje.
Usługi fałszywego portfela były promowane za pośrednictwem fałszywych stron internetowych z portfelami skierowanych do chińskich użytkowników. Rekrutujących pośredników za pośrednictwem grup Telegram i Facebook, aby nakłonić odwiedzających do pobrania aplikacji.
Kiedy to się zaczęło?
Dochodzenia rozpoczęte w maju 2021 r. ujawniły, że jedna grupa przestępcza to osoby odpowiedzialne za tworzenie usług portfela „konia trojańskiego”. Te kopiowały funkcjonalność oryginalnych aplikacji, zawierając złośliwy kod odpowiedzialny za przekierowywanie zasobów kryptograficznych. Złośliwy kod został wstrzyknięty do aplikacji w miejscach, które umknęły pobieżnemu zbadaniu.
Te złośliwe aplikacje stanowią również kolejne zagrożenie dla ofiar, ponieważ niektóre z nich wysyłają tajne frazy źródłowe ofiar do serwera atakującego za pomocą niezabezpieczonego połączenia HTTP.
— powiedział Štefanko. Stanowi to drugorzędne zagrożenie, ponieważ inni przestępcy podsłuchujący to niezabezpieczone łącze mogą ukraść frazy seed.
Hack może się rozprzestrzeniać, ostrzega ESET
Firma ESET znalazła wiele grup promujących aplikacje koni trojańskich w Telegramie. Aplikacji do przesyłania wiadomości i udostępniając je na 56 grupach na Facebooku. Cała komunikacja w grupach telegramów odbywała się po chińsku. Osobom promującym te aplikacje obiecano 50% udziału w skradzionym krypto.
Fałszywe aplikacje na iOS nie były dostępne w Apple App Store. Za pośrednictwem złośliwych witryn i wykorzystywały profile konfiguracyjne nieautoryzowane przez Apple. Trzynaście fałszywych aplikacji na Androida podszywających się pod Jaxx Liberty Wallet w Google Play Store zostało usuniętych z rynku do stycznia 2022 r. Nie mniej niż ponad 1000 razy. Štefanko powiedział, że aplikacje próbowały ukraść frazę seed odzyskiwania użytkownika, a następnie przekazać je na serwer lub grupę Telegram.
ESET ostrzega użytkowników przed możliwością włamania, które może mieć wpływ na inne części społeczeństwa. „Ponadto wydaje się, że kod źródłowy tego zagrożenia został ujawniony i udostępniony na kilku chińskich stronach internetowych. To może przyciągnąć różne cyberprzestępcy i jeszcze bardziej rozprzestrzenić to zagrożenie” – dodał Štefanko.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
