Spoločnosť ESET informuje o dômyselnej podvodnej schéme na vykrádanie krypto peňaženiek v mobilných zariadeniach s operačným systémom Android a iOS. Útočníci si pomáhajú falošnými internetovými stránkami, reklamou a taktiež zavádzajúcimi článkami. Schéma sa šíri aj cez skupiny na Telegrame a Facebooku.
Škodlivé aplikácie sa šíria prostredníctvom falošných webových stránok, ktoré napodobňujú originálne a legitímne kryptomenové peňaženky ako Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken a OneKey, uvádza ESET.
Tieto falošné weby sú propagované reklamami so zavádzajúcimi článkami umiestnenými na legitímnych stránkach. Útočníci navyše vyhľadávajú nových šíriteľov tohto obsahu prostredníctvom skupín v četovacej aplikácii Telegram a na Facebooku. Hlavným cieľom škodlivých aplikácií je odcudzenie prostriedkov v kryptomenách.
Podľa ESETu sa útočníci v prevažnej miere zameriavajú na čínskych používateľov. Popularita kryptomien ale rastie po celom svete. Nie je preto vôbec vylúčené, že sa tieto podvodné praktiky dostanú aj do iných krajín.
Experti spoločnosti ESET sa domnievajú, že za podvodnou schémou nestojí jeden kybernetický útočník, ale celá organizovaná skupina. Prvé falošné aplikácie objavili už v máji 2021. Potreba hĺbkovej analýzy legitímnych aplikácií zneužitých útočníkmi v tejto schéme nasvedčuje tomu, že ide o sofistikovaný útok.
Neprehliadnite
Podrobná analýza umožnila páchateľom nainštalovať škodlivý kód na miesta, kde je ťažko detekovateľný.
„Tieto škodlivé aplikácie predstavujú pre obete aj ďalšiu hrozbu. Niektoré totiž odosielajú na servery útočníkov tajné prístupové výrazy ku krypto peňaženkám prostredníctvom nezabezpečeného HTTP pripojenia. To znamená, že prostriedky obetí môžu okrem autorov podvodnej schémy ukradnúť aj ďalší útočníci zneužívajúci tú istú sieť,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti ESET, ktorý odhalil podvodnú schému.
„Takisto sme objavili 13 škodlivých aplikácií, ktoré sa vydávajú za krypto peňaženku Jaxx Liberty. Tieto aplikácie boli dostupné v obchode Google Play,“ dodáva.
ESET našiel v četovacej aplikácii Telegram desiatky skupín propagujúcich škodlivé kópie krypto peňaženiek. Výskumníci predpokladajú, že tieto skupiny boli vytvorené autormi podvodnej schémy za účelom vyhľadávania ďalších šíriteľov. Neskôr boli tieto skupiny propagované v najmenej v 56 skupinách na Facebooku.
Okrem týchto spôsobov šírenia ESET odhalil desiatky ďalších falošných webov s krypto peňaženkami, ktoré cielia výhradne na používateľov mobilných zariadení. Návšteva jednej z týchto stránok môže naviesť obete k stiahnutiu falošných krypto peňaženiek na platformy Android alebo iOS.
Škodlivé aplikácie sa správajú rozdielne v závislosti od daného operačného systému. V prípade platformy Android podľa všetkého cielia na nových používateľov kryptomien, ktorí ešte nemajú na svojom zariadení nainštalovanú legitímnu krypto peňaženku. Čo sa týka systému iOS, útočníci cielia aj na obete, ktoré už majú nainštalovanú legitímnu aplikáciu z App Store.
Na platforme iOS nie sú škodlivé aplikácie dostupné v obchode App Store, obeť si ich musí stiahnuť a nainštalovať prostredníctvom konfiguračných profilov, ktoré poskytujú dôveryhodný podpisový certifikát. V prípade Google Play odstránila v januári 2022 spoločnosť Google 13 škodlivých aplikácií z oficiálneho obchodu na základe žiadosti spoločnosti ESET, ktorá je partnerom App Defense Alliance.
Útočníci však ešte pravdepodobne nepovedali posledné slovo. Vyzerá to tak, že zdrojový kód tejto hrozby unikol a bol zverejnený na niekoľkých čínskych stránkach. Takýmto spôsobom sa môže na hrozbe priživiť ešte viac kybernetických zločincov.
„V čase publikovania hodnota bitcoinu klesla takmer na polovicu svojho historického maxima, na ktorom bola pred 4 mesiacmi. U investorov do kryptomien to môže vyvolať paniku a môžu vo veľkom predávať. Pre iných to však môže predstavovať príležitosť nakupovať kryptomeny za nižšie ceny. Ak patríte do jednej z týchto skupín, buďte mimoriadne opatrní pri výbere mobilnej aplikácie, pomocou ktorej si budete spravovať vaše prostriedky,“ radí Štefanko.
Ďalšie podrobnosti nájdete na stránke WeLiveSecurity, najnovšie odhalenia výskumníkov zase na Twitteri ESET Research.
