Malver u lažnim novčanicima za kriptovalutu na iPhoneu i Android telefonima

Mobilni telefoni, 28.03.2022, 11:30 AM

Sajber kriminalci pokušavaju da ukradu kriptovalute od korisnika Androida i iPhonea tako što ih namamljuju da preuzmu zlonamerne aplikacije koje se predstavljaju kao novčanici za kriptovalute.

Istraživači sajber bezbednosti iz kompanije ESET otkrili su više od 40 veb sajtova dizajniranih da izgledaju kao popularni veb sajtovi za kriptovalute, ali koji zapravo pokušavaju da prevare korisnike da preuzmu lažne verzije aplikacija koje kriju trojanca. Veb sajtovi su dizajnirani da ciljaju korisnike mobilnih uređaja i namame ih da preuzmu malver.

Napadači koriste internet oglase, postavljene na legitimnim veb sajtovima koji su u vezi kriptovaluta i blokčejna, da usmere saobraćaj na preuzimanja zlonamernih novčanika za kriptovalute.

Oni koji stoje iza napada, a koji inače komuniciraju na kineskom, koriste aplikaciju Telegram za traženje saradnika koji bi pomogli u širenju malvera, a neki od linkova se dele i u Facebook grupama, zajedno sa video tutorijalima korak po korak kako lažni novčanici rade i kako ukrasti kriptovalute od žrtava.

Saradnicima koji pomažu u distribuciji malvera nudi se čak 50% provizije za ukradena sredstva iz novčanika koji je uspešno kompromitovan.

Malver funkcioniše drugačije u zavisnosti od toga da li je žrtva korisnik iOS-a ili Androida.

Na Androidu malver cilja nove korisnike kriptovaluta koji još nemaju instaliranu legitimnu aplikaciju za novčanik jer nije moguće da malver zameni postojeće aplikacije na uređaju zbog bezbednosnih protokola Androida.

Međutim, na iOS-u je moguće da žrtva ima instaliranu i pravu i lažnu aplikaciju, tako da bi i iskusniji poznavaoci kriptovaluta mogli biti ciljevi.

Lažni veb sajtovi pozivaju korisnike Androida da preuzmu aplikaciju sa Google Playa iako se aplikacija zapravo preuzima sa servera lažnog veb sajta. Nakon preuzimanja, korisnik mora ručno da instalira aplikaciju. Iako su mnoge od ovih aplikacija sa sajtova koji nemaju veze sa Google Play prodavnicom, istraživači ESET-a kažu da je 13 zlonamernih aplikacija povezanih sa kampanjom uklonjeno iz same Google Play prodavnice u januaru.

Pošto napadači ne mogu da postave zlonamerne aplikacije u Appleov App Store, umesto toga šalju potencijalne žrtve na druge veb sajtove radi preuzimanja aplikacija. Da bi se osiguralo da su zlonamerne aplikacije uspešno instalirane, koriste se upozorenja i obaveštenja da podstaknu korisnika da zaobiđe podrazumevane zaštite iPhonea i instalira zlonamernu aplikaciju.

Bilo da je na Appleu ili Androidu, kada se instalira, malver se ponaša kao potpuno funkcionalan novčanik kriptovalute. Ubacivanjem zlonamernog koda u aplikaciju, napadači mogu da manipulišu sadržajem aplikacije kao da je njihov sopstveni, što znači da mogu da isprazne novčanik, a da korisnik to ne zna.

Istraživači veruju da kampanja krađe kriptovaluta i dalje traje. Da ne bi postali žrtve napada, preporučuje se da korisnici preuzimaju aplikacije samo iz pouzdanih, zvaničnih izvora, jer su to najverovatnije bezbedne, legitimne aplikacije. Takođe se preporučuje da korisnici instaliraju antivirusni softver na svom pametnom telefonu kako bi im pomogao da otkriju zlonamerne aplikacije i linkove.

Korisnici koji sumnjaju da su možda preuzeli zlonamernu aplikaciju, treba da odmah naprave potpuno novi novčanik sa pouzdanim uređajem i aplikacijom i prebace sva sredstva na njega, tako da se napadači ne bi mogli vratiti i ukrasti kriptovalutu.