Luna mai 2019 a înregistrat o creștere a bitcoin-ului, prețurile atingând un prag nemaiîntâlnit din septembrie 2018 încoace. Nu este deloc surprinzător faptul că infractorii cibernetici au observat rapid această creștere și au început să-și intensifice eforturile de a targeta direct utilizatorii de criptovalută, prin diverse escrocherii și aplicații malițioase.
O astfel de aplicație a fost recent găsită în magazinul Google Play de către utilizatorii Reddit, având drept țintă utilizatorii Trezor, un portofel hardware de criptomonede. Aplicația purta numele de „Trezor Mobile Wallet". Nu fuseseră descoperite înainte alte programe malware care să se folosească de numele acestui brand și am fost curioși de capacitățile unei astfel de aplicații false. Trezor oferă portofele hardware care necesită manipulare fizică și autentificare prin PIN sau cunoașterea așa-numitului „seed", pentru a accesa fondurile stocate. Constrângeri similare se aplică și aplicației sale oficiale „TREZOR Manager".
Analizând aplicația falsă, am constatat că:
- Nu poate face niciun rău utilizatorilor Trezor, datorită multiplelor nivele de securitate pe care le dețin aceste portofele
- Are legături cu o aplicație falsă de portofele electronice, numită „Coin Wallet - Bitcoin, Ripple, Ethereum, Tether", care este capabilă să le sustragă bani utilizatorilor
- Ambele dintre aceste aplicații au fost create pe baza unui șablon de aplicație vândut online
Am raportat aplicația falsă la echipele de securitate Google și am luat legătura cu Trezor, în legătură cu publicarea acestui articol de blog. Trezor a confirmat că aplicația falsă nu a reprezentat o amenințare directă la adresa utilizatorilor lor. Cu toate acestea, ei și-au exprimat îngrijorarea că adresele de e-mail colectate prin aplicații false, cum ar fi aceasta, ar putea fi utilizate ulterior în mod greșit pentru campanii de phishing, având ca țintă utilizatorii Trezor.
La momentul redactării acestei postări, niciuna dintre aplicațiile Trezor și Coin Wallet nu mai erau disponibile pe Google Play.
Aplicația falsă Trezor
Aplicația care pretindea a fi un portofel virtual pentru Trezor a fost încărcată în Google Play la data de 1 mai 2019, cu numele de dezvoltator „Trezor Inc.", așa cum se vede în Figura 1. În ansamblu, pagina aplicației de pe Google Play inspira încredere - numele dezvoltatorului, categoria, descrierea și toate imaginile păreau legitime la prima vedere. În momentul analizei noastre, aplicația falsă apărea chiar pe al doilea loc în rezultate, la căutarea cuvântului „Trezor" pe Google Play, imediat după aplicația oficială.
Cum funcționează aplicația?
Toată operațiunea de convingere avea loc la căutarea aplicației în Google Play. După instalare, pictograma care apare pe ecranele utilizatorilor diferă de cea afișată pe Google Play, ceea ce servește ca un indicator clar că ceva este în neregulă. În pictograma aplicației instalate se regăsește textul „Coin Wallet", așa cum se vede în Figura 2.
În plus, atunci când utilizatorii lansează aplicația, este afișat un ecran de conectare generic, fără nicio mențiune despre Trezor, așa cum se vede în Figura 3. Acesta este un alt indicator că nu avem de-a face cu o aplicație legitimă. Acest ecran generic se utilizează pentru a colecta credențiale de autentificare - însă nu este clar tipul de credențiale colectat și în ce scop ar putea fi folosite de atacatori. În orice caz, aplicația salvează orice tip de date introduse și le trimite către serverul atacatorilor, așa cum se arată în Figura 4.
După cum se vede în Figura 4, serverul utilizat pentru a strânge credențiale cu ajutorul aplicației false este găzduit pe coinwalletinc [.] Com. Analiza acestui domeniu ne-a condus către o altă aplicație frauduloasă, denumită „Coin Wallet" pe site-ul său web și „Wallet Coin - Bitcoin, Ripple, Ethereum, Tether" pe Google Play.
Aplicația Coin Wallet
Cele două aplicații descrise în secțiunea anterioară au multe în comun - pe lângă utilizarea aceluiași server, prezintă similarități și la nivel de cod și interfață. Aplicația Coin Wallet utilizează aceeași pictogramă pe care am văzut-o la instalarea aplicației false Trezor.
Pe site-ul său web, aplicația Coin Wallet este descrisă ca fiind „cel mai important portofel de monede la nivel mondial" (Figura 5).
Site-ul web conține un link către Google Play, unde aplicația a fost disponibilă din data de 7 februarie 2019 până la data de 5 mai 2019 sub numele de „Coin Wallet - Bitcoin, Ripple, Ethereum, Tether", așa cum se vede în Figura 6. În această perioadă, a fost instalat de mai mult de 1000 de utilizatori.
Site-ul web pare, de asemenea, să aibă un link către magazinul oficial Apple, dar dacă dăm click pe butonul „Disponibil în App Store", suntem duși către o adresă URL a imaginii PNG.
Ce face, de fapt, aplicația?
Aplicația susține că îi permite utilizatorului să creeze portofele pentru diverse monede virtuale. Cu toate acestea, scopul său real este de a înșela utilizatorii să transfere criptovalută în portofelele atacatorilor - un soi de scam la nivelul portofelului virtual, subiect discutat și în ultima noastră lucrare de cercetare a malware-ului ce vizează monedele virtuale.
Aplicația funcționează destul de simplu: aceasta pretinde că generează o adresă unică pentru portofelul virtual, în care utilizatorii își pot transfera fondurile. În realitate, această adresă aparține atacatorilor și doar ei dețin cheia privată care permite accesarea fondurilor. Atacatorii au câte un portofel pentru fiecare monedă de pe piață - 13 portofele în total - iar toate victimele primesc aceeași adresă a portofelului virtual.
Uitându-ne la graficile ilustrate în acest articol ale acestor aplicații frauduloase, putem concluziona că ambele au fost create pe aceeași bază. O simplă căutare Google pentru „șablon de aplicație coinwallet", afișează în rezultate un șablon, care poate fi cumpărat de oricine, pentru 40 de dolari. Șablonul în sine este unul foarte bun, dar care a fost folosit în scopuri malițioase de către autorii acestei campanii; putem vedea, așadar, cum anumite materiale utile de pe internet pot fi folosite la crearea unor aplicații înșelătoare, foarte rapid și ieftin.
Cum să rămâneți în siguranță
Dacă bitcoin continuă în tendința sa de creștere, ne putem aștepta la mai multe aplicații scam de acest tip, care vor apărea în magazinul oficial de aplicații Android sau în altă parte. Când instalați aplicații, este important să respectați câteva principii de securitate fundamentale - cu atât mai mult cu cât sunt în joc banii dvs.
- Instalați doar aplicații financiare, doar dacă au link direct către site-ul oficial al serviciului
- Introduceți datele dvs. personale doar în formulare online, dacă sunteți sigur de securitatea și legitimitatea acestora
- Păstrați dispozitivul permanent actualizat
- Utilizați o soluție de securitate mobilă de încredere, pentru a bloca și elimina amenințările
Indici de compromis (IoCs)
| Numele pachetului | Hash | Detectare |
|---|---|---|
| com.trezorwalletinc.cryptocurrency | 0021A89588C8CEB885A40FBCCA6DD76D | Trojan.Android/FakeApp.KO |
| com.walletinc.cryptocurrency | EE9E4AD693A0F0C9971145FB0FB0B85C | Trojan.Android/FakeApp.KO |
| Criptovalută | Portofel |
| BTC | 17jAe7hTZgNixT4MPZVGZD7fGKQpD9mppi |
| DOGE | DGf6dT2rd9evb4d6X9mzjd9uaFoyywjfrm |
| ETH | 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C |
| LTC | Lg64xV4Mw41bV3pTKc5ooBJ4QZ81gHUuJ6 |
| BCH | qq9cjckr3r9wl5x4f3xcfshpcj72jcqk9uu2qa7ja2 |
| DASH | Xu6mkZNFxSGYFcDUEVWtUEcoMnfoGryAjS |
| ZEC | t1JKPTwHJcj6e5BDqLp5KayaXLWdMs6pKZo |
| XRP | raPXPSnw61Cbn2NWky39CrCL1AZC2dg6Am |
| USDT | 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C |
| XLM | GDZ2AT7TU6N3LTMHUIX6J2DZHUDBU74X65ASOWEZUQGP7JMQ237KDBUX |
| TRX | TAm4fPA6yTQvaAjKs2zFqztfDPmnNzJqi2 |
| ADA | DdzFFzCqrhswWLJMdNPJK8EL2d5JdN8cSU1hbgStPhxDqLspXGRRgWkyknbw45KDvT2EJJhoPXuj2Vdsj6V6WWM5JABoZ4UhR7vnRopn |
| NEO | AJqeUDNrn1EfrPxUriKuRrYyhobhk78zvK |
Lasa un comentariu