Aplicativos maliciosos que fingem ser carteiras de criptomoedas são usados ​​para roubar fundos de usuários de Android e iOS

Posadas como carteiras de criptomoedas, dezenas de aplicativos maliciosos apareceram on-line com o objetivo de roubar fundos de usuários em todo o mundo. Os aplicativos estavam disponíveis para usuários de Android e iOS como parte de um esquema complexo, de acordo com um relatório baseado em pesquisa. Descobriu-se que os aplicativos maliciosos em questão estavam se passando por carteiras de criptomoedas como Coinbase, imToken, MetaMask, Accept as true with Pockets, Bitpie, TokenPocket e OneKey. As carteiras de criptomoedas trojanizadas foram descobertas pela primeira vez em maio de 2021 e inicialmente visavam usuários chineses. No entanto, à medida que as criptomoedas estão se tornando populares, as técnicas maliciosas usadas pelos invasores podem ser expandidas para usuários em todo o mundo.

empresa de segurança na web ESET tem relatado a descoberta de carteiras criptográficas maliciosas que parecem estar disponíveis tanto para Android e iOS Comercial.

A pesquisa conduzida pela ESET encontrou um esquema sofisticado executado por alguns invasores anônimos e identificou mais de 40 websites que se passavam por websites populares criptografia carteiras. Esses websites visam usuários móveis e forçam os visitantes por diferentes técnicas para permitir que baixem aplicativos de carteira maliciosos.

Embora as evidências iniciais sugerissem que o alvo poderia ser usuários chineses, descobriu-se mais tarde que o esquema poderia ser direcionado a qualquer pessoa que usasse o idioma inglês em seus telefones.

“Eles não visam apenas usuários chineses, já que a maioria dos websites e aplicativos falsos distribuídos está em inglês. Por causa disso, acredito que pode afetar qualquer pessoa no mundo (se falar inglês)”, disse Lukas Stefanko, analista de malware da ESET, ao Devices 360.

O primeiro rastro do vetor de distribuição das carteiras trojanizadas foi descoberto em maio de 2021. Os invasores usaram diferentes grupos do Telegram para inscrever pessoas para distribuir os aplicativos maliciosos, de acordo com o relatório.

Com base nas informações obtidas, os pesquisadores descobriram que os invasores estavam dando às pessoas uma comissão de 50% sobre o conteúdo roubado da carteira. O objetivo technology trazer mais pessoas a bordo para a circulação do malware.

Os pesquisadores também perceberam que os grupos do Telegram foram compartilhados e promovidos em alguns grupos do Fb, com o objetivo de buscar mais parceiros de distribuição para o malware. Eventualmente, poderia expandir o escopo de ataques maliciosos, obtendo intermediários para direcionar indivíduos.

De acordo com os pesquisadores, os aplicativos de malware fingiam funcionar como carteiras de criptomoedas legítimas, como imToken, Bitpie, MetaMask, TokenPocket e OneKey.

Os aplicativos se comportam de maneira diferente dependendo do sistema operacional em que foram instalados, disseram os pesquisadores.

No Android, os aplicativos visavam novos usuários de criptomoedas que não possuem um aplicativo de carteira legítimo instalado em seus dispositivos. Os aplicativos de carteira estavam usando o mesmo nome de pacote para se disfarçar como suas contrapartes originais. No entanto, eles foram assinados usando um certificado diferente. Isso restringe esses aplicativos a não substituir a carteira oficial no dispositivo.

No entanto, no iOS, os aplicativos maliciosos de carteira de criptografia podem ser instalados simultaneamente junto com sua versão legítima. Os aplicativos maliciosos só seriam instalados por meio de uma fonte de terceiros, embora a versão oficial pudesse ser do Loja de aplicativos.

Uma vez instalados, os pesquisadores descobriram que os aplicativos podem roubar frases de semente que são geradas por uma carteira de criptomoedas para dar acesso à criptomoeda associada a essa carteira. Essas frases foram vistas compartilhando com o servidor dos invasores ou com um grupo de bate-papo secreto do Telegram.

Os pesquisadores da ESET também descobriram 13 aplicativos de carteira falsa disponíveis no Google Play loja que foram removidos em janeiro com base em seu pedido. Os aplicativos representavam o aplicativo legítimo Jaxx Liberty Pockets e foram instalados mais de 1.100 vezes.

Os pesquisadores aconselham os usuários a baixar e instalar aplicativos apenas de fontes oficiais, como o Google Play no caso do Android e a App Retailer da Apple para os consumidores de iPhone. Os usuários também são recomendados a desinstalar rapidamente os aplicativos se os acharem de natureza maliciosa. No caso do iOS, os usuários também devem remover o perfil de configuração de aplicativos maliciosos acessando Configurações > Em geral > VPN e gerenciamento de dispositivos uma vez que os aplicativos são instalados.

Recomenda-se que os usuários que planejam entrar no mundo das criptomoedas e desejam configurar uma nova carteira usem apenas um dispositivo e aplicativo confiáveis ​​antes de transferir qualquer dinheiro suado.

“Considerando que os invasores conhecem o histórico de todas as transações da vítima, os invasores podem não roubar os fundos imediatamente e podem esperar por uma oportunidade melhor depois que mais moedas forem depositadas”, escreve Stefanko no relatório.