Ponad 20 złośliwych aplikacji w Google Play atakuje użytkowników za pomocą fraz źródłowych

Niedawne dochodzenie przeprowadzone przez firmę Cyble, zajmującą się analizą zagrożeń, ujawniło kampanię skierowaną przeciwko użytkownikom kryptowalut za pośrednictwem sklepu Google Play, obejmującą ponad 20 złośliwych aplikacji na Androida.

Aplikacje te, podszywające się pod zaufane portfele kryptowalutowe, takie jak SushiSwap, PancakeSwap, Hyperliquid i Raydium, zbierają od użytkowników 12-wyrazowe frazy mnemoniczne, stanowiące klucze do odblokowania ich środków kryptowalutowych.

Te aplikacje imitują legalne interfejsy portfela, wabiąc użytkowników do wprowadzania poufnych fraz odzyskiwania. Po ich wprowadzeniu atakujący mogą uzyskać dostęp do prawdziwych portfeli i je opróżnić. Podczas gdy Google usunął wiele z tych fałszywych aplikacji po raporcie Cyble, garść z nich pozostaje aktywna w sklepie i została oznaczona do usunięcia.

Według raportu Cyble udostępnionego Hackread.com, oszukańcze aplikacje noszą nazwy i ikony znanych platform kryptograficznych i pojawiają się na kontach deweloperów, które wcześniej hostowały oryginalne aplikacje, w tym gry, programy do pobierania wideo i narzędzia do przesyłania strumieniowego. Te konta, niektóre z ponad 100 000 pobrań, wydają się być przejęte i ponownie wykorzystane do dystrybucji złośliwych aplikacji.

W kilku przypadkach aplikacje wykorzystują narzędzie programistyczne znane jako „Median framework”, aby szybko przekształcić witryny phishingowe w aplikacje na Androida. Aplikacje ładują te strony phishingowe bezpośrednio w WebView, osadzonym oknie przeglądarki, które prosi użytkowników o podanie frazy mnemonicznej pod pretekstem dostępu do portfela.

Kampania nie tylko jest szeroko rozpowszechniona, ale także skoordynowana w swojej infrastrukturze. Jedna domena phishingowa znaleziona przez Cyble była powiązana z ponad 50 podobnymi domenami, wszystkie były częścią tego samego szerszego wysiłku na rzecz naruszenia bezpieczeństwa portfela.

Badacze Cyble zauważyli również pewien schemat działania tych fałszywych aplikacji. Wiele z nich zawiera linki w swoich politykach prywatności, które w rzeczywistości prowadzą do witryn phishingowych zaprojektowanych w celu kradzieży fraz odzyskiwania portfela użytkowników. Aplikacje mają również tendencję do stosowania podobnych stylów nazewnictwa, co wskazuje na wykorzystanie zautomatyzowanych narzędzi do ich szybkiego tworzenia i publikowania.

Na dodatek kilka aplikacji jest połączonych z tymi samymi serwerami lub stronami internetowymi, co pokazuje, że są częścią większego, zorganizowanego wysiłku. Niektóre z fałszywych domen powiązanych z tymi aplikacjami obejmują:

• bullxnisbs
• hyperliqwsbs
• raydifloydcz
• sushijamessbs
• pancakefentfloydcz

Te domeny podszywają się pod różnych dostawców portfeli i obsługują strony mające na celu oszukanie użytkowników, aby przekazali swoje frazy seed. Tymczasem częściowa lista złośliwych aplikacji, dzięki uprzejmości Cyble, jest dostępna poniżej:

1. Raydium
2. SushiSwap
3. Portfel Suit
4. Hiperpłynny
5. BullX Krypto
6. Wymiana naleśników
7. Giełda Meteora
8. Wymiana OpenOcean
9. Blog o finansach Harvest

Pomimo wysiłków zmierzających do usunięcia aplikacji, kampania trwa. W chwili pisania tego raportu kilka z nich pozostaje aktywnych w Play Store. Szybka replikacja tych aplikacji przy użyciu gotowych struktur sugeruje, że atakujący mogliby łatwo stworzyć więcej fałszywych aplikacji, jeśli nie zostaną szybko zablokowani.

Stanowi to poważne ryzyko. W przeciwieństwie do tradycyjnej bankowości, nie ma siatki bezpieczeństwa na wypadek kradzieży kryptowalut. Gdy portfel zostanie opróżniony, odzyskanie środków jest niemal niemożliwe.

Firma Cyble udostępniła szczegółowe wskaźniki zagrożeń (IOC), obejmujące nazwy aplikacji, identyfikatory pakietów i domeny phishingowe. Specjaliści ds. bezpieczeństwa mogą je wykorzystać do zablokowania problemu lub przeprowadzenia dalszego dochodzenia.

Ta kampania pokazuje, jak atakujący nadal atakują już podatną na ataki przestrzeń kryptograficzną za pośrednictwem oficjalnych kanałów, takich jak sklepy z aplikacjami. Podczas gdy platformy aplikacji pracują nad wyłapywaniem złośliwych przesłań, użytkownicy pozostają odbiorcami tych zagrożeń cyberbezpieczeństwa . Dlatego użytkownicy są proszeni o zachowanie ostrożności i przestrzeganie następujących kroków w celu ochrony siebie:

Zwróć uwagę na sygnały ostrzegawcze, takie jak niska liczba recenzji, niedawno opublikowane aplikacje lub linki do dziwnych domen w polityce prywatności.

• Unikaj pobierania i instalowania niepotrzebnych aplikacji.

• Włącz Google Play Protect, aby łatwiej identyfikować potencjalnie szkodliwe aplikacje.

• W miarę możliwości stosuj zabezpieczenia biometryczne i uwierzytelnianie dwuskładnikowe.

• Zawsze zachowaj ostrożność przy pobieraniu aplikacji, zarówno ze sklepów oficjalnych, jak i zewnętrznych.

• Nigdy nie wpisuj 12-wyrazowej frazy w żadnej aplikacji ani witrynie internetowej, jeśli nie masz pewności, że jest ona autentyczna.