Pratite nas preko RSS-aJeftini Android telefoni, lažni WhatsApp i krađa kriptovaluta
Mobilni telefoni, 15.04.2025, 11:30 AM
Iz godine u godinu, kriptovalute su sve češće sredstavo plaćanja. Prema podacima za 2023. godinu, u razvijenim zemljama oko 20% stanovništva je nekada koristilo kriptovalute kao sredstvo plaćanja, a u zemljama u razvoju, gde bankarski sektor ne zadovoljava potrebe stanovništva, broj korisnika kriptovaluta je još i veći. Anonimnost, brze transakcije, globalna dostupnost i niske naknade za transfer su glavne prednosti koje privlače obične korisnike. Prevaranti, s druge strane, korist nepovratnost transakcija, nedostatak regulative i manjak znanja korisnika o relativno novoj tehnologiji.
Novi talas napada na pametnim telefonima prazni kripto novčanike, a da žrtve to i ne primete, upozoravaju istraživači kompanije Doctor Web. Porast broja Android telefona zaraženih malverom razotkrio je koordinisanu operaciju u kojoj napadači ugrađuju špijunski softver direktno u softver novih uređaja. Cilj je da se presretnu transakcije kriptovaluta preko modifikovane verzije WhatsApp-a.
Telefoni o kojima je reč u većini slučajeva su bili telefoni niže klase, i imali su imena poznatih brendova, poput „S23 Ultra“, „Note 13 Pro“ i „P70 Ultra“. Ali zapravo, oni pokreću stariji softver (svi istu verziju Androida - Android 12) uprkos tvrdnji da imaju najnoviju verziju Androida, a na njima se nalazi i malver.
Zaraženi uređaji se isporučuju sa unapred instaliranim, modifikovanim verzijama WhatsApp-a koje rade kao kliperi (clippers), programi dizajnirani da zamene kopirane adrese novčanika za kriptovalute adresom napadača. Ovaj lažni WhatsApp tiho zamenjuje adrese novčanika za popularnu kriptovalutu kao što je Ethereum ili Tron kad god ih korisnici pošalju ili prime preko WhatsApp-a.
Žrtve ne primećuju šta se dešava. Malver prikazuje tačnu adresu novčanika na ekranu pošiljaoca, ali dostavlja pogrešnu adresu primaocu i obrnuto. Sve izgleda normalno dok novac ne nestane.
Napadači se nisu zaustavili na jednoj aplikaciji. Prema izveštaju Dr. Web-a, istraživači su pronašli skoro 40 lažnih aplikacija, uključujući Telegram, kripto novčanike poput Trust Wallet i MathWallet, čitače QR kodova i druge. Tehnika iza infekcije oslanja se na alat pod nazivom LSPatch, koji omogućava modifikacije bez promene osnovnog koda aplikacije. Ovaj metod ne samo da izbegava otkrivanje, nego dodatno omogućava zlonamernom kodu da „preživi“ ažuriranja.
Istraživači veruju da je do infekcije došlo u fazi proizvodnje, što znači da su ovi telefoni bili kompromitovani pre nego što su stigli u prodavnice. Mnogi uređaji potiču od manjih kineskih brendova, a trećina modela su modeli proizvedeni pod brendom „SHOWJI“.
Malver ne menja samo adrese novčanika - on kopa po folderima sa slikama ciljanih uređaja kao što su DCIM, Downloads i Screenshots, tražeći slike fraza za oporavak. Mnogi ljudi prave skrinšotove jer im je to praktično, ali te fraze su glavni ključevi njihovih kripto novčanika. Ako ih se napadači dočepaju, mogu da isprazne novčanik za nekoliko minuta.
Ažuriranja WhatsApp-a ne dolaze sa zvaničnih servera, već sa domena koje kontrolišu hakeri, što omogućava da špijunski softver ostane funkcionalan i ažuriran.
Doctor Web je do sada identifikovao više od 60 servera i 30 domena korišćenih u kampanji. Neki novčanici napadača koji su povezani sa operacijom već su primili više od milion dolara, dok drugi imaju šestocifrena stanja. A pošto se mnoge adrese generišu dinamički, koliko su tačno zaradili napadači ostaje nepoznato.
Stručnjaci za sajber bezbednost u Dr. Web-u upozorili su korisnike da budu oprezni. Oni savetuju izbegavanje kupovine Android telefona neproverenih proizvođača, posebno ako je cena nerealno mala. Stručnjaci takođe savetuju da ne čuvate fraze za oporavak, lozinke ili privatne ključeve kao slike ili nešifrovane tekstualne fajlove, koji mogu biti lake mete za špijunski softver. Instaliranje pouzdanog bezbednosnog softvera može pomoći u otkrivanju dubljih pretnji na nivou sistema. A kada je u pitanju preuzimanje aplikacija, najbezbednije je držati se zvaničnih izvora kao što je Google Play.
Iako je kampanja trenutno usmerena na korisnike koji govore ruski, predinstalirani malveri na jeftinim Android uređajima nisu nikakva novost i već su korišćeni za na napade na korisnike širom sveta. Zato, bez obzira na to gde se nalazite, budite oprezni.
Foto: Florian Schmetz | Unsplash
Izdvojeno
Apple objavio hitno ažuriranje: obrisane poruke ostajale u notifikacijama iPhone-a
Apple je objavio vanredna bezbednosna ažuriranja za iPhone i iPad uređaje kako bi rešio propust u Notification Services sistemu koji je mogao da za... Dalje
Kako su državni špijunski alati za iPhone završili u rukama sajber kriminalaca
Dva nova malvera za špijunažu, DarkSword i Coruna, predstavljaju ozbiljan zaokret u napadima na iOS uređaje, jer omogućavaju infekciju bez ikakve ... Dalje
Apple Pay prevara se širi globalno: jedna poruka dovoljna da ostanete bez novca
Nova prevara cilja korisnike iPhone uređaja širom sveta - prevaranti koriste lažna upozorenja o sumnjivim aktivnostima na Apple Pay nalogu kako bi ... Dalje
Četiri nova Android malvera kradu podatke iz više od 800 aplikacija
Istraživači iz Zimperium zLabs-a otkrili su četiri nove porodice Android malvera koje se trenutno koriste u četiri različite kampanje usmerene na... Dalje
Novi Android malver Mirax pretvara zaražene uređaje u alat za sajber napade
Istraživači iz kompanije Cleafy otkrili su novog Android bankarskog trojanca pod nazivom Mirax, koji se širi Evropom a koji kombinuje daljinski pri... Dalje
Pratite nas
Nagrade
Prijatelji
