Кибер престъпници се опитват да откраднат криптовалута от потребителите на Android и iPhone, като ги примамват да изтеглят злонамерени приложения, представящи се за услуги за портфейл за криптовалута.

Изследователите по киберсигурност от ESET са идентифицирали над 40 фалшиви уебсайта, проектирани да приличат на тези на популярните уебсайтове за криптовалути, но които всъщност подмамват потребителите да изтеглят фалшиви версии на приложенията, съдържащи троянски зловреден софтуер. Изглежда, че новите потребители на криптовалута са особено уязвими. Уебсайтовете са специално проектирани да се насочат към мобилни потребители и да ги примамят да изтеглят злонамерения софтуер.

Нападателите използват онлайн реклама, публикувана на легитимни уебсайтове за криптовалута и блокчейн, за да насочат трафика към опасните изтегляния на портфейла за криптовалута.

Тези, които стоят зад атаките – които изследователите отбелязват, че общуват на китайски, – също използват приложението за съобщения Telegram, за да търсят партньори, които да помогнат за разпространението на зловреден софтуер, като някои от тези връзки също се споделят във Facebook групи, допълнени със „стъпка по стъпка“ видео уроци за това, как фалшивите портфейли работят и как да откраднат криптовалута от жертвите.

Партньори, които помагат за разпространението на зловреден софтуер, могат да получат до 50% комисиона за откраднатото съдържание на портфейли за криптовалута, които са успешно компрометирани.

Зловредният софтуер работи различно в зависимост от това, дали жертвата е потребител на iOS или Android. В Android програмата изглежда е насочена към нови потребители на криптовалута, които все още нямат инсталирано легитимно приложение за портфейл, тъй като не е възможно злонамереният софтуер да презапише съществуващи приложения на устройството поради протоколите за сигурност на Android.

Въпреки това в iOS е възможно жертвата да има инсталирано както истинско приложение, така и фалшиво, така че по-опитните ентусиасти на тема криптовалута също могат да бъдат нарочени, въпреки че и в двата случая изтеглянето на тези фалшиви портфейли е малко тромаво.

За потребителите на Android фалшивите уебсайтове за криптовалута канят потребителя да „изтегли от Google Play“, въпреки че всъщност те изтегля от сървъра на фалшивия сайт. След като бъде изтеглено, приложението трябва да бъде инсталирано ръчно от потребителя. Докато много от тези приложения идват от сайтове на трети страни, изследователите на ESET казват, че 13 злонамерени приложения, свързани с кампанията, са били премахнати от самия магазин на Google Play през януари.

Не е възможно нападателите да качат злонамерените приложения в App Store на Apple, така че вместо това те препращат потенциални жертви до уебсайтове на трети страни за изтеглянията. За да се гарантира, че злонамерените приложения са инсталирани успешно, се използват сигнали и известия, за да насърчат потребителя да заобиколи защитите по подразбиране на iPhone и да инсталира непроверени приложения.

Независимо дали е на Apple или Android, веднъж инсталиран, зловредният софтуер се държи като напълно работещ портфейл с криптовалута, неразличим от истинските приложения.

Чрез вмъкване на злонамерен код в приложението нападателите могат да манипулират съдържанието на приложението, сякаш е тяхно – което означава, че могат да източат криптовалутата от портфейла, без потребителят да знае.

Смята се, че кампанията за кражба на криптовалута остава активна. За да не станете жертва на атаки, се препоръчва потребителите да изтеглят приложения само от доверени официални източници. Също така се препоръчва на потребителите да инсталират антивирусен софтуер на своя смартфон, за да помогнат за откриването на злонамерени приложения и връзки.

Снимка: Pikrepo

Виж още: Руската ботнет мрежа Cyclops Blink атакува рутери на Asus по цял свят