vysvetľuje Lukáš Štefanko, analytik škodlivého kódu zo spoločnosti ESET.

Novo objavený Clipper, ktorého ESET riešenia odchytávajú pod menom Android/Clipper.C, využíva fakt, že majitelia kryptomien väčšinou pri transakciách nezadávajú adresu svojej peňaženky ručne. Namiesto vyťukania túto adresu jednoducho skopírujú a vložia. Toto práve využívajú útočníci. Dlhý reťazec písmen a čísel skopírovaný do schránky zmenia z pôvodnej adresy príjemcu transakcie na adresu peňaženky, ktorú spravuje útočník. Je to akoby používateľovi internet bankingu niekto zamenil číslo účtu, na ktorý posiela peniaze.

Clipper, ktorý výskumníci spoločnosti ESET našli v Google Play tento mesiac, sa vydáva za legitímnu službu s názvom MetaMask. Táto služba umožňuje spustiť decentralizované aplikácie pre Ethereum v prehliadači bez toho, aby bolo nutné spustiť celý Ethereum node. Legitímny MetaMask je možné stiahnuť v podobe doplnku do prehliadačov, napríklad Chrome alebo Firefox. Zatiaľ však nie je k dispozícii verzia pre mobilné zariadenia. Podvodnú aplikáciu zneužívajúcu mená legitímnej služby na podnet výskumníkov spoločnosti ESET z Google Play odstránili.

Po prvý raz sa tento druh škodlivého kódu objavil v roku 2017, kedy sa útočníci zameriavali na používateľov operačného systému Windows. V roku 2018 objavili výskumníci spoločnosti ESET až tri takéto aplikácie. V auguste 2018 sa na internetových fórach, v ktorých sú aktívni útočníci, objavila na predaj prvá Clipper aplikácia pre Android. Tento škodlivý kód sa potom objavil v niektorých neoficiálnych obchodoch s aplikáciami.

ESET tento škodlivý kód v Google Play objavil krátko pred konferenciou Mobile World Congress v Barcelone, na ktorej bude Lukáš Štefanko a ďalší výskumníci spoločnosti ESET hovoriť o výsledkoch aktuálnych štúdií skúmajúcich bezpečnostné riziká mobilných operačných systémov.