O nouă aplicație falsă de tip portofel virtual, descoperită pe Google Play


Luna mai 2019 a înregistrat o creștere a bitcoin-ului, prețurile atingând un prag nemaiîntâlnit din septembrie 2018 încoace. Nu este deloc surprinzător faptul că infractorii cibernetici au observat rapid această creștere și au început să-și intensifice eforturile de a targeta direct utilizatorii de criptovalută, prin diverse escrocherii și aplicații malițioase.

O astfel de aplicație a fost recent găsită în magazinul Google Play de către utilizatorii Reddit, având drept țintă utilizatorii Trezor, un portofel hardware de criptomonede. Aplicația purta numele de „Trezor Mobile Wallet". Nu fuseseră descoperite înainte alte programe malware care să se folosească de numele acestui brand și am fost curioși de capacitățile unei astfel de aplicații false. Trezor oferă portofele hardware care necesită manipulare fizică și autentificare prin PIN sau cunoașterea așa-numitului „seed", pentru a accesa fondurile stocate. Constrângeri similare se aplică și aplicației sale oficiale „TREZOR Manager".

Analizând aplicația falsă, am constatat că:

  • Nu poate face niciun rău utilizatorilor Trezor, datorită multiplelor nivele de securitate pe care le dețin aceste portofele
  • Are legături cu o aplicație falsă de portofele electronice, numită „Coin Wallet - Bitcoin, Ripple, Ethereum, Tether", care este capabilă să le sustragă bani utilizatorilor
  • Ambele dintre aceste aplicații au fost create pe baza unui șablon de aplicație vândut online

Am raportat aplicația falsă la echipele de securitate Google și am luat legătura cu Trezor, în legătură cu publicarea acestui articol de blog. Trezor a confirmat că aplicația falsă nu a reprezentat o amenințare directă la adresa utilizatorilor lor. Cu toate acestea, ei și-au exprimat îngrijorarea că adresele de e-mail colectate prin aplicații false, cum ar fi aceasta, ar putea fi utilizate ulterior în mod greșit pentru campanii de phishing, având ca țintă utilizatorii Trezor.

La momentul redactării acestei postări, niciuna dintre aplicațiile Trezor și Coin Wallet nu mai erau disponibile pe Google Play.

Aplicația falsă Trezor

Aplicația care pretindea a fi un portofel virtual pentru Trezor a fost încărcată în Google Play la data de 1 mai 2019, cu numele de dezvoltator „Trezor Inc.", așa cum se vede în Figura 1. În ansamblu, pagina aplicației de pe Google Play inspira încredere - numele dezvoltatorului, categoria, descrierea și toate imaginile păreau legitime la prima vedere. În momentul analizei noastre, aplicația falsă apărea chiar pe al doilea loc în rezultate, la căutarea cuvântului „Trezor" pe Google Play, imediat după aplicația oficială.

Figura 1 - Aplicația falsă Trezor, de pe Google Play

Cum funcționează aplicația?

Toată operațiunea de convingere avea loc la căutarea aplicației în Google Play. După instalare, pictograma care apare pe ecranele utilizatorilor diferă de cea afișată pe Google Play, ceea ce servește ca un indicator clar că ceva este în neregulă. În pictograma aplicației instalate se regăsește textul „Coin Wallet", așa cum se vede în Figura 2.

Figura 2. Iconița aplicației, imediat după instalare

În plus, atunci când utilizatorii lansează aplicația, este afișat un ecran de conectare generic, fără nicio mențiune despre Trezor, așa cum se vede în Figura 3. Acesta este un alt indicator că nu avem de-a face cu o aplicație legitimă. Acest ecran generic se utilizează pentru a colecta credențiale de autentificare - însă nu este clar tipul de credențiale colectat și în ce scop ar putea fi folosite de atacatori. În orice caz, aplicația salvează orice tip de date introduse și le trimite către serverul atacatorilor, așa cum se arată în Figura 4.

Figura 3. Formular generic de login, afișat de aplicația falsă

Figura 4. Credențialele introduse, trimise către serverul atacatorului

După cum se vede în Figura 4, serverul utilizat pentru a strânge credențiale cu ajutorul aplicației false este găzduit pe coinwalletinc [.] Com. Analiza acestui domeniu ne-a condus către o altă aplicație frauduloasă, denumită „Coin Wallet" pe site-ul său web și „Wallet Coin - Bitcoin, Ripple, Ethereum, Tether" pe Google Play.

Aplicația Coin Wallet

Cele două aplicații descrise în secțiunea anterioară au multe în comun - pe lângă utilizarea aceluiași server, prezintă similarități și la nivel de cod și interfață. Aplicația Coin Wallet utilizează aceeași pictogramă pe care am văzut-o la instalarea aplicației false Trezor.

Pe site-ul său web, aplicația Coin Wallet este descrisă ca fiind „cel mai important portofel de monede la nivel mondial" (Figura 5).

Figura 5. Prezentarea înșelătoare a aplicației Coin Wallet

Site-ul web conține un link către Google Play, unde aplicația a fost disponibilă din data de 7 februarie 2019 până la data de 5 mai 2019 sub numele de „Coin Wallet - Bitcoin, Ripple, Ethereum, Tether", așa cum se vede în Figura 6. În această perioadă, a fost instalat de mai mult de 1000 de utilizatori.

Site-ul web pare, de asemenea, să aibă un link către magazinul oficial Apple, dar dacă dăm click pe butonul „Disponibil în App Store", suntem duși către o adresă URL a imaginii PNG.

Figura 6. Aplicația frauduloasă Coin Wallet, pe Google Play

Ce face, de fapt, aplicația?

Aplicația susține că îi permite utilizatorului să creeze portofele pentru diverse monede virtuale. Cu toate acestea, scopul său real este de a înșela utilizatorii să transfere criptovalută în portofelele atacatorilor - un soi de scam la nivelul portofelului virtual, subiect discutat și în ultima noastră lucrare de cercetare a malware-ului ce vizează monedele virtuale.

Aplicația funcționează destul de simplu: aceasta pretinde că generează o adresă unică pentru portofelul virtual, în care utilizatorii își pot transfera fondurile. În realitate, această adresă aparține atacatorilor și doar ei dețin cheia privată care permite accesarea fondurilor. Atacatorii au câte un portofel pentru fiecare monedă de pe piață - 13 portofele în total - iar toate victimele primesc aceeași adresă a portofelului virtual.

Uitându-ne la graficile ilustrate în acest articol ale acestor aplicații frauduloase, putem concluziona că ambele au fost create pe aceeași bază. O simplă căutare Google pentru „șablon de aplicație coinwallet", afișează în rezultate un șablon, care poate fi cumpărat de oricine, pentru 40 de dolari. Șablonul în sine este unul foarte bun, dar care a fost folosit în scopuri malițioase de către autorii acestei campanii; putem vedea, așadar, cum anumite materiale utile de pe internet pot fi folosite la crearea unor aplicații înșelătoare, foarte rapid și ieftin.

Cum să rămâneți în siguranță

Dacă bitcoin continuă în tendința sa de creștere, ne putem aștepta la mai multe aplicații scam de acest tip, care vor apărea în magazinul oficial de aplicații Android sau în altă parte. Când instalați aplicații, este important să respectați câteva principii de securitate fundamentale - cu atât mai mult cu cât sunt în joc banii dvs.

  • Instalați doar aplicații financiare, doar dacă au link direct către site-ul oficial al serviciului
  • Introduceți datele dvs. personale doar în formulare online, dacă sunteți sigur de securitatea și legitimitatea acestora
  • Păstrați dispozitivul permanent actualizat
  • Utilizați o soluție de securitate mobilă de încredere, pentru a bloca și elimina amenințările

Indici de compromis (IoCs)

Numele pachetului Hash Detectare
com.trezorwalletinc.cryptocurrency 0021A89588C8CEB885A40FBCCA6DD76D Trojan.Android/FakeApp.KO
com.walletinc.cryptocurrency EE9E4AD693A0F0C9971145FB0FB0B85C Trojan.Android/FakeApp.KO

Criptovalută Portofel
BTC 17jAe7hTZgNixT4MPZVGZD7fGKQpD9mppi
DOGE DGf6dT2rd9evb4d6X9mzjd9uaFoyywjfrm
ETH 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C
LTC Lg64xV4Mw41bV3pTKc5ooBJ4QZ81gHUuJ6
BCH qq9cjckr3r9wl5x4f3xcfshpcj72jcqk9uu2qa7ja2
DASH Xu6mkZNFxSGYFcDUEVWtUEcoMnfoGryAjS
ZEC t1JKPTwHJcj6e5BDqLp5KayaXLWdMs6pKZo
XRP raPXPSnw61Cbn2NWky39CrCL1AZC2dg6Am
USDT 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C
XLM GDZ2AT7TU6N3LTMHUIX6J2DZHUDBU74X65ASOWEZUQGP7JMQ237KDBUX
TRX TAm4fPA6yTQvaAjKs2zFqztfDPmnNzJqi2
ADA DdzFFzCqrhswWLJMdNPJK8EL2d5JdN8cSU1hbgStPhxDqLspXGRRgWkyknbw45KDvT2EJJhoPXuj2Vdsj6V6WWM5JABoZ4UhR7vnRopn
NEO AJqeUDNrn1EfrPxUriKuRrYyhobhk78zvK

Lasa un comentariu