Jeftini Android telefoni, lažni WhatsApp i krađa kriptovaluta

Mobilni telefoni, 15.04.2025, 11:30 AM

Iz godine u godinu, kriptovalute su sve češće sredstavo plaćanja. Prema podacima za 2023. godinu, u razvijenim zemljama oko 20% stanovništva je nekada koristilo kriptovalute kao sredstvo plaćanja, a u zemljama u razvoju, gde bankarski sektor ne zadovoljava potrebe stanovništva, broj korisnika kriptovaluta je još i veći. Anonimnost, brze transakcije, globalna dostupnost i niske naknade za transfer su glavne prednosti koje privlače obične korisnike. Prevaranti, s druge strane, korist nepovratnost transakcija, nedostatak regulative i manjak znanja korisnika o relativno novoj tehnologiji.

Novi talas napada na pametnim telefonima prazni kripto novčanike, a da žrtve to i ne primete, upozoravaju istraživači kompanije Doctor Web. Porast broja Android telefona zaraženih malverom razotkrio je koordinisanu operaciju u kojoj napadači ugrađuju špijunski softver direktno u softver novih uređaja. Cilj je da se presretnu transakcije kriptovaluta preko modifikovane verzije WhatsApp-a.

Telefoni o kojima je reč u većini slučajeva su bili telefoni niže klase, i imali su imena poznatih brendova, poput „S23 Ultra“, „Note 13 Pro“ i „P70 Ultra“. Ali zapravo, oni pokreću stariji softver (svi istu verziju Androida - Android 12) uprkos tvrdnji da imaju najnoviju verziju Androida, a na njima se nalazi i malver.

Zaraženi uređaji se isporučuju sa unapred instaliranim, modifikovanim verzijama WhatsApp-a koje rade kao kliperi (clippers), programi dizajnirani da zamene kopirane adrese novčanika za kriptovalute adresom napadača. Ovaj lažni WhatsApp tiho zamenjuje adrese novčanika za popularnu kriptovalutu kao što je Ethereum ili Tron kad god ih korisnici pošalju ili prime preko WhatsApp-a.

Žrtve ne primećuju šta se dešava. Malver prikazuje tačnu adresu novčanika na ekranu pošiljaoca, ali dostavlja pogrešnu adresu primaocu i obrnuto. Sve izgleda normalno dok novac ne nestane.

Napadači se nisu zaustavili na jednoj aplikaciji. Prema izveštaju Dr. Web-a, istraživači su pronašli skoro 40 lažnih aplikacija, uključujući Telegram, kripto novčanike poput Trust Wallet i MathWallet, čitače QR kodova i druge. Tehnika iza infekcije oslanja se na alat pod nazivom LSPatch, koji omogućava modifikacije bez promene osnovnog koda aplikacije. Ovaj metod ne samo da izbegava otkrivanje, nego dodatno omogućava zlonamernom kodu da „preživi“ ažuriranja.

Istraživači veruju da je do infekcije došlo u fazi proizvodnje, što znači da su ovi telefoni bili kompromitovani pre nego što su stigli u prodavnice. Mnogi uređaji potiču od manjih kineskih brendova, a trećina modela su modeli proizvedeni pod brendom „SHOWJI“.

Malver ne menja samo adrese novčanika - on kopa po folderima sa slikama ciljanih uređaja kao što su DCIM, Downloads i Screenshots, tražeći slike fraza za oporavak. Mnogi ljudi prave skrinšotove jer im je to praktično, ali te fraze su glavni ključevi njihovih kripto novčanika. Ako ih se napadači dočepaju, mogu da isprazne novčanik za nekoliko minuta.

Ažuriranja WhatsApp-a ne dolaze sa zvaničnih servera, već sa domena koje kontrolišu hakeri, što omogućava da špijunski softver ostane funkcionalan i ažuriran.

Doctor Web je do sada identifikovao više od 60 servera i 30 domena korišćenih u kampanji. Neki novčanici napadača koji su povezani sa operacijom već su primili više od milion dolara, dok drugi imaju šestocifrena stanja. A pošto se mnoge adrese generišu dinamički, koliko su tačno zaradili napadači ostaje nepoznato.

Stručnjaci za sajber bezbednost u Dr. Web-u upozorili su korisnike da budu oprezni. Oni savetuju izbegavanje kupovine Android telefona neproverenih proizvođača, posebno ako je cena nerealno mala. Stručnjaci takođe savetuju da ne čuvate fraze za oporavak, lozinke ili privatne ključeve kao slike ili nešifrovane tekstualne fajlove, koji mogu biti lake mete za špijunski softver. Instaliranje pouzdanog bezbednosnog softvera može pomoći u otkrivanju dubljih pretnji na nivou sistema. A kada je u pitanju preuzimanje aplikacija, najbezbednije je držati se zvaničnih izvora kao što je Google Play.

Iako je kampanja trenutno usmerena na korisnike koji govore ruski, predinstalirani malveri na jeftinim Android uređajima nisu nikakva novost i već su korišćeni za na napade na korisnike širom sveta. Zato, bez obzira na to gde se nalazite, budite oprezni.

Foto: Florian Schmetz | Unsplash