Meer dan 20 kwaadaardige apps op Google Play richten zich op gebruikers met zaadzinnen

Uit recent onderzoek van het cybersecuritybedrijf Cyble is een campagne naar voren gekomen die gericht is op gebruikers van cryptovaluta via de Google Play Store. Deze campagne bevat meer dan 20 schadelijke Android-apps.

Er is ontdekt dat deze apps, die zich voordoen als vertrouwde crypto-wallets zoals SushiSwap, PancakeSwap, Hyperliquid en Raydium, de twaalf woorden tellende geheugensteuntjes van gebruikers verzamelen. Deze geheugensteuntjes zijn de sleutels waarmee ze toegang krijgen tot hun crypto-fondsen.

Deze apps imiteren legitieme wallet-interfaces en lokken gebruikers ertoe gevoelige herstelzinnen in te voeren. Eenmaal ingevoerd, kunnen de aanvallers toegang krijgen tot de echte wallets en deze legen. Hoewel Google veel van deze nep-apps heeft verwijderd naar aanleiding van het rapport van Cyble, zijn er nog een paar actief in de app store en gemarkeerd voor verwijdering.

Volgens het rapport van Cyble, gedeeld met Hackread.com, dragen de frauduleuze apps namen en pictogrammen van bekende cryptoplatforms en verschijnen ze onder ontwikkelaarsaccounts die voorheen legitieme apps hostten, waaronder games, videodownloaders en streamingtools. Deze accounts, waarvan sommige meer dan 100.000 downloads hebben, lijken te zijn gekaapt en misbruikt om de schadelijke apps te verspreiden.

In verschillende gevallen gebruiken de apps een ontwikkeltool genaamd het "Median Framework" om phishingwebsites snel om te zetten in Android-apps. De apps laden deze phishingpagina's rechtstreeks in een WebView, een ingebed browservenster, dat gebruikers vraagt ​​om hun mnemonische zin onder het mom van toegang tot hun wallet.

De campagne is niet alleen wijdverbreid qua omvang, maar ook qua infrastructuur gecoördineerd. Eén phishingdomein dat Cyble ontdekte, was gekoppeld aan meer dan 50 vergelijkbare domeinen, allemaal onderdeel van dezelfde bredere poging om de beveiliging van wallets te ondermijnen.

De onderzoekers van Cyble zagen ook een patroon in de manier waarop deze nep-apps werken. Veel van hen bevatten links in hun privacybeleid die in werkelijkheid leiden naar phishingwebsites die ontworpen zijn om de wachtwoorden van gebruikers te stelen. De apps hanteren ook vaak een vergelijkbare naamgeving, wat wijst op het gebruik van geautomatiseerde tools om ze snel te creëren en te publiceren.

Bovendien zijn verschillende apps verbonden met dezelfde servers of websites, wat aantoont dat ze deel uitmaken van een groter, georganiseerd project. Enkele van de nepdomeinen die aan deze apps zijn gekoppeld, zijn:

• bullxnisbs
• hyperliqwsbs
• raydifloydcz
• sushijamessbs
• pancakefentfloydcz

Deze domeinen imiteren verschillende wallet-aanbieders en bieden pagina's aan die bedoeld zijn om gebruikers te misleiden zodat ze hun seedphrases overhandigen. Hieronder vindt u een gedeeltelijke lijst met schadelijke apps, met dank aan Cyble:

1. Raydium
2. SushiSwap
3. Suite portemonnee
4. Hypervloeibaar
5. BullX Crypto
6. Pannenkoekenruil
7. Meteora Exchange
8. OpenOcean Exchange
9. Oogstfinanciering Blog

Ondanks pogingen om de apps te verwijderen, is de campagne nog steeds gaande. Op het moment van schrijven zijn er nog steeds een paar actief in de Play Store. De snelle replicatie van deze apps met behulp van standaard frameworks suggereert dat de aanvallers gemakkelijk meer nep-apps zouden kunnen ontwikkelen als ze niet snel worden geblokkeerd.

Dit vormt een ernstig risico. In tegenstelling tot traditioneel bankieren bestaat er geen vangnet voor cryptodiefstal. Zodra een wallet leeg is, is het vrijwel onmogelijk om het geld terug te krijgen.

Cyble heeft gedetailleerde indicatoren van inbreuk (IOC's) gedeeld, waaronder app-namen, pakket-ID's en phishingdomeinen. Beveiligingsprofessionals kunnen deze indicatoren gebruiken om aanvallen te blokkeren of nader te onderzoeken.

Deze campagne laat zien hoe aanvallers de toch al kwetsbare cryptowereld blijven aanvallen via officiële kanalen zoals app-winkels. Hoewel app-platforms eraan werken om kwaadaardige uploads te onderscheppen, blijven gebruikers het slachtoffer van deze cyberbedreigingen . Gebruikers worden daarom dringend verzocht op te passen en deze stappen te volgen om zichzelf te beschermen:

Let op rode vlaggen zoals een laag aantal beoordelingen, onlangs opnieuw gepubliceerde apps en links naar vreemde domeinen in privacybeleid.

• Vermijd het downloaden en installeren van onnodige apps.

• Schakel Google Play Protect in om mogelijk schadelijke apps te identificeren.

• Maak waar mogelijk gebruik van biometrische beveiliging en tweefactorauthenticatie.

• Wees altijd voorzichtig met het downloaden van apps van derden en officiële winkels.

• Voer nooit uw zin van 12 woorden in een app of website in, tenzij u zeker weet dat deze betrouwbaar is.