Jeftini Android telefoni, lažni WhatsApp i krađa kriptovaluta

Mobilni telefoni, 15.04.2025, 11:30 AM

Jeftini Android telefoni, lažni WhatsApp i krađa kriptovaluta

Iz godine u godinu, kriptovalute su sve češće sredstavo plaćanja. Prema podacima za 2023. godinu, u razvijenim zemljama oko 20% stanovništva je nekada koristilo kriptovalute kao sredstvo plaćanja, a u zemljama u razvoju, gde bankarski sektor ne zadovoljava potrebe stanovništva, broj korisnika kriptovaluta je još i veći. Anonimnost, brze transakcije, globalna dostupnost i niske naknade za transfer su glavne prednosti koje privlače obične korisnike. Prevaranti, s druge strane, korist nepovratnost transakcija, nedostatak regulative i manjak znanja korisnika o relativno novoj tehnologiji.

Novi talas napada na pametnim telefonima prazni kripto novčanike, a da žrtve to i ne primete, upozoravaju istraživači kompanije Doctor Web. Porast broja Android telefona zaraženih malverom razotkrio je koordinisanu operaciju u kojoj napadači ugrađuju špijunski softver direktno u softver novih uređaja. Cilj je da se presretnu transakcije kriptovaluta preko modifikovane verzije WhatsApp-a.

Telefoni o kojima je reč u većini slučajeva su bili telefoni niže klase, i imali su imena poznatih brendova, poput „S23 Ultra“, „Note 13 Pro“ i „P70 Ultra“. Ali zapravo, oni pokreću stariji softver (svi istu verziju Androida - Android 12) uprkos tvrdnji da imaju najnoviju verziju Androida, a na njima se nalazi i malver.

Zaraženi uređaji se isporučuju sa unapred instaliranim, modifikovanim verzijama WhatsApp-a koje rade kao kliperi (clippers), programi dizajnirani da zamene kopirane adrese novčanika za kriptovalute adresom napadača. Ovaj lažni WhatsApp tiho zamenjuje adrese novčanika za popularnu kriptovalutu kao što je Ethereum ili Tron kad god ih korisnici pošalju ili prime preko WhatsApp-a.

Žrtve ne primećuju šta se dešava. Malver prikazuje tačnu adresu novčanika na ekranu pošiljaoca, ali dostavlja pogrešnu adresu primaocu i obrnuto. Sve izgleda normalno dok novac ne nestane.

Napadači se nisu zaustavili na jednoj aplikaciji. Prema izveštaju Dr. Web-a, istraživači su pronašli skoro 40 lažnih aplikacija, uključujući Telegram, kripto novčanike poput Trust Wallet i MathWallet, čitače QR kodova i druge. Tehnika iza infekcije oslanja se na alat pod nazivom LSPatch, koji omogućava modifikacije bez promene osnovnog koda aplikacije. Ovaj metod ne samo da izbegava otkrivanje, nego dodatno omogućava zlonamernom kodu da „preživi“ ažuriranja.

Istraživači veruju da je do infekcije došlo u fazi proizvodnje, što znači da su ovi telefoni bili kompromitovani pre nego što su stigli u prodavnice. Mnogi uređaji potiču od manjih kineskih brendova, a trećina modela su modeli proizvedeni pod brendom „SHOWJI“.

Malver ne menja samo adrese novčanika - on kopa po folderima sa slikama ciljanih uređaja kao što su DCIM, Downloads i Screenshots, tražeći slike fraza za oporavak. Mnogi ljudi prave skrinšotove jer im je to praktično, ali te fraze su glavni ključevi njihovih kripto novčanika. Ako ih se napadači dočepaju, mogu da isprazne novčanik za nekoliko minuta.

Ažuriranja WhatsApp-a ne dolaze sa zvaničnih servera, već sa domena koje kontrolišu hakeri, što omogućava da špijunski softver ostane funkcionalan i ažuriran.

Doctor Web je do sada identifikovao više od 60 servera i 30 domena korišćenih u kampanji. Neki novčanici napadača koji su povezani sa operacijom već su primili više od milion dolara, dok drugi imaju šestocifrena stanja. A pošto se mnoge adrese generišu dinamički, koliko su tačno zaradili napadači ostaje nepoznato.

Stručnjaci za sajber bezbednost u Dr. Web-u upozorili su korisnike da budu oprezni. Oni savetuju izbegavanje kupovine Android telefona neproverenih proizvođača, posebno ako je cena nerealno mala. Stručnjaci takođe savetuju da ne čuvate fraze za oporavak, lozinke ili privatne ključeve kao slike ili nešifrovane tekstualne fajlove, koji mogu biti lake mete za špijunski softver. Instaliranje pouzdanog bezbednosnog softvera može pomoći u otkrivanju dubljih pretnji na nivou sistema. A kada je u pitanju preuzimanje aplikacija, najbezbednije je držati se zvaničnih izvora kao što je Google Play.

Iako je kampanja trenutno usmerena na korisnike koji govore ruski, predinstalirani malveri na jeftinim Android uređajima nisu nikakva novost i već su korišćeni za na napade na korisnike širom sveta. Zato, bez obzira na to gde se nalazite, budite oprezni.

Foto: Florian Schmetz | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Zamislite da ste negde u gradu, telefon vam pokazuje pun signal, ali vi ste zapravo povezani na lažnu mrežu koja može da vas špijunira. Zvuči kao... Dalje

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje