• Sofistikovaná škodlivá schéma na vykrádanie krypto peňaženiek cieli na mobilné zariadenia s operačným systémom Android aj iOS.
  • Škodlivé aplikácie útočníci distribuujú prostredníctvom falošných webových stránok napodobňujúcich legitímne krypto peňaženky. Podvodná schéma je podporená reklamami so zavádzajúcimi článkami a šíri sa aj cez skupiny v četovacej aplikácii Telegram a na Facebooku.
  • Hlavným cieľom tejto schémy je kradnúť kryptomeny, útočníci sa zameriavajú najmä na čínskych používateľov.
  • Výskumníci spoločnosti ESET odhalili viac ako 40 falošných stránok napodobňujúcich skutočné krypto peňaženky a domnievajú sa, že ide o dielo zločineckej skupiny.
  • Škodlivé aplikácie sa správajú rozdielne v závislosti od toho, na akom operačnom systéme sú nainštalované.
  • Vzhľadom na rastúcu popularitu kryptomien a zjavný únik zdrojového kódu sa odborníci spoločnosti ESET nazdávajú, že sa podvodné praktiky rozšíria aj na ostatné trhy.

Výskumníci spoločnosti ESET odhalili a zdokumentovali sofistikovanú podvodnú schému na vykrádanie krypto peňaženiek, ktorá cieli na mobilné zariadenia s operačným systémom Android aj iOS. Škodlivé aplikácie sa šíria prostredníctvom falošných webových stránok, pričom napodobňujú legitímne krypto peňaženky ako Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken a OneKey. Tieto falošné stránky sú propagované reklamami so zavádzajúcimi článkami umiestnenými na legitímnych stránkach. Útočníci navyše vyhľadávajú nových šíriteľov tohto obsahu prostredníctvom skupín v četovacej aplikácii Telegram a na Facebooku. Hlavným cieľom škodlivých aplikácií je kradnutie prostriedkov v kryptomenách. Podľa výskumníkov spoločnosti ESET sa útočníci zatiaľ zameriavajú najmä na čínskych používateľov. V dôsledku rastúcej popularity kryptomien však môžeme očakávať rozšírenie týchto podvodných praktík aj na ostatné trhy.

Výskumníci spoločnosti ESET objavili prvé falošné aplikácie tváriace sa ako  legitímne krypto peňaženky už v máji 2021.  Nutnosť hĺbkovej analýzy legitímnych aplikácií zneužitých útočníkmi v tejto schéme nasvedčuje tomu, že ide o sofistikovaný útok. Podrobná analýza umožnila páchateľom nainštalovať škodlivý kód na miesta, kde je ťažko detekovateľný. Útočníci zároveň vytvorili falošné aplikácie tak, aby ponúkali rovnakú funkcionalitu ako ich originálne predlohy. Výskumníci spoločnosti ESET sa preto nazdávajú, že za podvodnou schémou je zločinecká skupina.   

„Tieto škodlivé aplikácie predstavujú pre obete aj ďalšiu hrozbu. Niektoré totiž odosielajú na servery útočníkov tajné prístupové výrazy ku krypto peňaženkám prostredníctvom nezabezpečeného HTTP pripojenia. To znamená, že prostriedky obetí môžu okrem autorov podvodnej schémy ukradnúť aj ďalší útočníci zneužívajúci tú istú sieť,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti ESET, ktorý odhalil podvodnú schému. „Takisto sme objavili 13 škodlivých aplikácií, ktoré sa vydávajú za krypto peňaženku Jaxx Liberty. Tieto aplikácie boli dostupné v obchode Google Play,“ dodáva.

Na bezplatnej a obľúbenej multiplatformovej četovacej aplikácií Telegram, ktorá obsahuje funkcie na posilnené zabezpečenie súkromia, našiel ESET desiatky skupín propagujúcich škodlivé kópie krypto peňaženiek. Výskumníci predpokladajú, že tieto skupiny boli vytvorené autormi podvodnej schémy za účelom vyhľadávania ďalších šíriteľov. Táto aktivita prebieha už od mája 2021. Od októbra 2021 zaznamenal ESET šírenie a propagovanie skupín z Telegramu najmenej v 56 skupinách na Facebooku s tým istým cieľom vyhľadávania nových distribútorov škodlivého obsahu. V novembri 2021 bezpečnostní experti zaznamenali šírenie škodlivých aplikácií prostredníctvom dvoch legitímnych čínskych webových stránok.

Časová os podvodnej schémy

Okrem týchto spôsobov šírenia ESET odhalil desiatky ďalších falošných webov s krypto peňaženkami, ktoré cielia výhradne na používateľov mobilných zariadení. Návšteva jednej z týchto stránok môže naviesť obete k stiahnutiu falošných krypto peňaženiek na platformy Android alebo iOS.

Škodlivé aplikácie sa správajú rozdielne v závislosti od daného operačného systému. V prípade platformy Android podľa všetkého cielia na nových používateľov kryptomien, ktorí ešte nemajú na svojom zariadení nainštalovanú legitímnu krypto peňaženku. Čo sa týka systému iOS, útočníci cielia aj na obete, ktoré už majú nainštalovanú legitímnu aplikáciu z App Store.

Na platforme iOS nie sú škodlivé aplikácie dostupné v obchode App Store, obeť si ich musí stiahnuť a nainštalovať prostredníctvom konfiguračných profilov, ktoré poskytujú dôveryhodný podpisový certifikát. V prípade Google Play odstránila v januári 2022  spoločnosť Google 13 škodlivých aplikácií z oficiálneho obchodu na základe žiadosti spoločnosti ESET, ktorá je partnerom App Defense Alliance.  

Útočníci však ešte pravdepodobne nepovedali posledné slovo. Vyzerá to tak, že zdrojový kód tejto hrozby unikol a bol zverejnený na niekoľkých čínskych stránkach. Takýmto spôsobom sa môže na hrozbe priživiť ešte viac kybernetických zločincov.

„V čase publikovania hodnota bitcoinu klesla takmer na polovicu svojho historického maxima, na ktorom bola pred 4 mesiacmi. U investorov do kryptomien to môže vyvolať paniku a môžu vo veľkom predávať. Pre iných to však môže predstavovať príležitosť nakupovať kryptomeny za nižšie ceny. Ak patríte do jednej z týchto skupín, buďte mimoriadne opatrní  pri výbere mobilnej aplikácie, pomocou ktorej si budete spravovať vaše prostriedky,“ radí Štefanko.

Pre viac technických informácií si prečítajte náš špeciálny blog na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na Twitteri ESET Research.

Značky:

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.