Click Accept pentru a primi notificări cu cele mai importante știri!
Experții Cyble au descoperit că o serie de aplicații au pătruns în Magazinul Play (Play Store), în pofida faptului că imitau numele și pictogramele unor portofele digitale legitime. Odată instalate și deschise, aplicațiile deschid un site web de phishing sau o vizualizare web în aplicație, solicitând frazele mnemonice care pot fi folosite pentru a goli portofelul.
Cyble a găsit peste 20 de aplicații crae „vizează utilizatorii de portofele cripto” prin atacarea de „portofele populare precum SushiSwap, PancakeSwap, Hyperliquid și Raydium” și păcălesc utilizatorii să le instaleze, folosind „conturi de dezvoltator compromise sau reutilizate”. Portofelele vizate (și numele aplicațiilor) sunt enumerate mai jos.
Aplicații periculoase
Există 9 aplicații care sunt imitate, dar lista ar putea crește. În prezent sunt identificate peste 20 de aplicații, dar campania este activă și, prin urmare, se va extinde. Concentrează-te pe numele portofelului/aplicației, nu pe identificatorul aplicației, deși numele pachetelor sunt în raportul Cyble.
Pancake Swap
Suiet Wallet
Hyperliquid
Raydium
BullX Crypto
OpenOcean Exchange
Meteora Exchange
SushiSwap
Harvest Finance Blog
Aplicațiile par să provină de la dezvoltatori diferiți dar „prezintă tipare consistente, cum ar fi încorporarea URL-urilor de Comandă și Control (C&C) în politicile lor de confidențialitate și utilizarea unor nume și descrieri similare ale pachetelor”. Aceste conturi de dezvoltatori au distribuit cândva aplicații legitime dar au fost compromise.
Cum acționează escrocii
Cyble avertizează că aceste aplicații „folosesc tehnici de phishing pentru a fura frazele mnemonice ale utilizatorilor, care sunt apoi folosite pentru a accesa portofele reale și a goli fondurile criptomonedelor”. Aplicațiile nu au fost descoperite în ultimele săptămâni. Pe măsură ce sunt poartate, acestea sunt eliminate din Play Sore. Verifică lista de mai sus și șterge orice aplicație de pe telefon. De asemenea, asigură-te că Google Play Protect este întotdeauna activat pe telefon.
Shane Barney de la Keeper Security avertizează că „și platformele de încredere, precum Play Store, nu sunt imune la amenințările cibernetice din ce în ce mai complexe de astăzi. Aplicațiile de phishing utilizate în această campanie imită portofele cripto populare, cum ar fi SushiSwap, PancakeSwap, Hyperliquid și Raydium - atrăgând utilizatorii să introducă frazele lor de recuperare de 12 cuvinte - practic cheile către activele lor digitale.”
Citește pe Antena3.ro
Cyble spune că „aceste aplicații au fost descoperite progresiv în ultimele săptămâni, reflectând o campanie continuă și activă”, și toate au fost raportate către Google. Majoritatea au fost deja eliminate înainte de publicare, în timp ce restul „au fost raportate pentru eliminare”.
Google afirmă că „toate aplicațiile rău intenționate identificate din acest raport au fost eliminate din Google Play” și „utilizatorii sunt protejați automat de Google Play Protect, care poate avertiza utilizatorii sau poate bloca aplicațiile false pe dispozitivele Android cu ajutorul serviciilor Google Play”.
Însă aplicațiile de pe platforma Google Play Store nu sunt verificate în mod regulat din punct de vedere al securității, cu excepția cazului în care cineva le raportează. Se așteaptă ca dezvoltatorul/compania care creează aceste aplicații să facă acest lucru. De cele mai multe or, vedem aplicații care profită de popularitatea altor aplicații mobile și se promovează ca o versiune îmbunătățită a celei originale. Utilizatorii ar trebui să descarce întotdeauna aplicațiile legale create de companie, așa cum sunt listate pe site-ul lor web și nu căutând în Play Store.
În lumina acestui fapt, Jake Moore de la ESET avertizează „pe oricine are portofele cripto să dezinstaleze imediat orice aplicație care nu este verificată, precum și să verifice detaliile editorului aplicației, recenziile și statisticile de descărcare înainte de instalare.” Acest lucru necesită un oarecare efort, dar riscurile nu merită asumate. Faptul că aceste aplicații au ajuns în Play Store înseamnă că este esențial să se adopte aceste măsuri.
Kevin Hoganson de la iVerify spune că „este extrem de complicat atunci când utilizatorul are instalată, fără să știe, o aplicație pe dispozitivul său mobil, care acum realizează două lucruri: 1) tactica surprinzător de inteligentă de a se da drept interfața de conectare a unei aplicații cunoscute pentru a deturna acreditările; 2) potențialul de a valorifica privilegiile sale extinse pentru a monitoriza utilizarea acreditărilor de către utilizator (și aceasta include lucruri care pot fi copiate din aplicații legitime de gestionare a parolelor sau din alte surse).”
Asta înseamnă „monitorizarea unor lucruri, precum clipboard-ul utilizatorului (prin copiere și lipire) și apăsările de taste, plus interacțiunile cu interfața utilizatorului prin intermediul Serviciilor de Accesibilitate. Serviciile de Accesibilitate pot observa câmpurile de text, introducerea de date în aplicații, astfel încât unele tulpini de malware pot exploata proactiv această funcție.” Și asta extinde amenințarea mult dincolo de simpla conectare la portofoliile cripto prin abuzul permisiunilor aplicației.
Malware-ul este adesea ascuns în aplicațiile troiene găsite în magazine dar poate fi mult mai periculos atunci când apare în Play Store, care are de obicei verificări de securitate mult mai stricte. Înțelept este să efectuezi diligențele necesare, mai ales atunci când astfel de aplicații sunt conectate la finanțare.”
„Ceea ce face ca această campanie să fie deosebit de periculoasă”, spun cercetătorii Cyble, „este folosirea unor aplicații aparent legitime... combinată cu o infrastructură de phishing la scară largă legată de peste 50 de domenii".
Potrivit lui Moore, „actorii rău intenționați continuă să dezvolte malware mai sofisticat, care poate fi extrem de invaziv și știu prea bine că victimele lor se instalează adesea prea repede fără cercetări adecvate.” Faptul că aceste aplicații ar imita cu ușurință portofoliile cripto din lumea reală și pot folosi pentru a ataca utilizatorii Play Store demonstrează necesitatea ca aceștia să caute semne revelatoare înainte de instalare.
Totodată, permisiunea SYSTEM_ALERT_WINDOW este deosebit de periculoasă în acest caz, deoarece permite unei aplicații rău intenționate să deseneze o interfață cu aspect legitim pe întregul ecran.
Aceasta înseamnă că un hacker ar putea utiliza în mod fezabil un serviciu în prim-plan pentru a monitoriza ce aplicație este în focus, așteaptă atunci când este deschisă aplicația de gestionare a cripto și apoi să declanșeze ecranul de conectare fals pentru a induce utilizatorul în eroare și a-l autentifica cu mnemonica parolei sale. Dacă aceste dispozitive vor fi acreditate în următorul proces, serverele de atac pentru utilizare imediată sau viitoare.
Prea des utilizatorii presupun că, dacă o aplicație este disponibilă într-un magazin oficial, trebuie să fie sigură. Deși este întotdeauna recomandat să descarci aplicații din surse oficiale, acest lucru în sine nu garantează că aplicația este sigură. Atacatorii devin mai inteligenți, folosind conturi de dezvoltator compromise sau reutilizate și integrând infrastructură de phishing în moduri care pot trece neobservate, notează forbes.com.
Nu există o plasă de siguranță cu portofelele digitale. Pierderile nu vor fi recuperate. Nu instalați aplicații decât dacă știți că sunt furnizate de entitatea din spatele portofelului și dacă ați făcut legătura către aplicație de pe site-ul web real. Dacă aveți oricare dintre aceste aplicații, ștergeți-le.
Trimiteți feedback
