Oltre 20 app dannose su Google Play prendono di mira gli utenti per frasi seed

Una recente indagine condotta dalla società di intelligence sulle minacce Cyble ha individuato una campagna che prende di mira gli utenti di criptovalute tramite il Google Play Store con oltre 20 applicazioni Android dannose.

Si è scoperto che queste app, camuffate da affidabili portafogli crittografici come SushiSwap, PancakeSwap, Hyperliquid e Raydium, raccolgono le frasi mnemoniche di 12 parole degli utenti, le chiavi che sbloccano i loro fondi crittografici.

Queste app imitano le interfacce dei portafogli legittimi, inducendo gli utenti a inserire frasi di recupero sensibili. Una volta inserite, gli aggressori possono accedere ai portafogli reali e svuotarli. Sebbene Google abbia rimosso molte di queste app false in seguito alla segnalazione di Cyble, alcune rimangono attive sullo store e sono state segnalate per la rimozione.

Secondo il rapporto di Cyble condiviso con Hackread.com, le app fraudolente hanno nomi e icone di note piattaforme crypto e compaiono sotto account di sviluppatori che in precedenza ospitavano app autentiche, tra cui giochi, downloader di video e strumenti di streaming. Questi account, alcuni con oltre 100.000 download, sembrano essere stati dirottati e riutilizzati per distribuire le app dannose.

In diversi casi, le app utilizzano uno strumento di sviluppo noto come "Median Framework" per trasformare rapidamente i siti web di phishing in app Android. Le app caricano queste pagine di phishing direttamente in una WebView, una finestra del browser incorporata, che chiede agli utenti la loro frase mnemonica con il pretesto di accedere al portafoglio.

La campagna non è solo di vasta portata, ma anche coordinata nella sua infrastruttura. Un dominio di phishing trovato da Cyble era collegato a oltre 50 domini simili, tutti parte di un più ampio tentativo di compromettere la sicurezza dei portafogli elettronici.

I ricercatori di Cyble hanno anche notato uno schema ricorrente nel funzionamento di queste app false. Molte di esse includono nelle loro informative sulla privacy link che in realtà portano a siti web di phishing progettati per rubare le frasi di recupero del portafoglio degli utenti. Le app tendono anche a seguire stili di denominazione simili, il che indica l'utilizzo di strumenti automatizzati per crearle e pubblicarle rapidamente.

Inoltre, diverse app sono collegate agli stessi server o siti web, dimostrando di far parte di un'iniziativa più ampia e organizzata. Alcuni dei domini falsi collegati a queste app includono:

• bullxnisbs
• hyperliqwsbs
• raydifloydcz
• sushijamessbs
• pancakefentfloydcz

Questi domini impersonano diversi provider di wallet e pubblicano pagine mirate a indurre gli utenti a fornire le proprie seed phrase. Nel frattempo, l'elenco parziale delle app dannose, per gentile concessione di Cyble, è disponibile di seguito:

1. Raydium
2. SushiSwap
3. Portafoglio Suitet
4. Iperliquido
5. BullX Crypto
6. Scambio di pancake
7. Meteora Exchange
8. OpenOcean Exchange
9. Blog di Harvest Finance

Nonostante gli sforzi per rimuovere le app, la campagna è ancora in corso. Al momento di questo rapporto, alcune app rimangono attive sul Play Store. La rapida replicazione di queste app tramite framework standard suggerisce che gli aggressori potrebbero facilmente creare altre app false se non venissero bloccate tempestivamente.

Questo rappresenta un rischio serio. A differenza del sistema bancario tradizionale, non esiste una rete di sicurezza contro il furto di criptovalute. Una volta svuotato un portafoglio, i fondi sono quasi impossibili da recuperare.

Cyble ha condiviso indicatori dettagliati di compromissione (IOC), tra cui nomi di app, identificatori di pacchetti e domini di phishing, che i professionisti della sicurezza possono utilizzare per bloccare o indagare ulteriormente.

Questa campagna continua a mostrare come gli aggressori continuino a prendere di mira il già vulnerabile mondo delle criptovalute attraverso canali ufficiali come gli app store. Mentre le piattaforme di app si impegnano per intercettare i caricamenti dannosi, gli utenti rimangono i destinatari di queste minacce alla sicurezza informatica . Pertanto, si raccomanda agli utenti di prestare attenzione e di seguire queste misure per proteggersi:

Fai attenzione a segnali d'allarme come un basso numero di recensioni, app ripubblicate di recente o link a domini strani nelle informative sulla privacy.

• Evita di scaricare e installare app non necessarie.

• Attiva Google Play Protect per identificare le app potenzialmente dannose.

• Ove disponibili, utilizzare la sicurezza biometrica e l'autenticazione a due fattori.

• Fate sempre attenzione quando scaricate applicazioni da store ufficiali o di terze parti.

• Non inserire mai una frase di 12 parole in un'app o in un sito web se non sei certo che sia legittima.