Поделиться
В китайский App Store просочились десятки поддельных криптокошельков
Вредоносные программы мимикрировали под легитимные криптокошельки и пытались разными способами выкрасть seed-фразы. По-видимому, речь идёт о продолжении старой кампании SparkKitty.
Мимик - опасная тварь
Набор сразу из 26 вредоносных приложений, выдающих себя за популярные криптокошельки, просочился в китайский сегмент Apple App Store. При запуске они открывали в браузере пользователя страницы, стилизованные под App Store, с которых предлагалось скачать троянизированные версии соответствующих кошельков.
В компании Kaspersky (экс-«Лаборатория Касперского») утверждают, что все они происходят из одного источника и что, скорее всего, это разработчики печально известной серии вредоносов SparkKitty. Кампания получила название FakeWallet.
Что роднит новый набор поддельных кошельков с прежними «достижениями» SparkKitty, это использование фишинговых страниц, которые в точности повторяют вид популярных криптосервисов. Однако с них доверчивым пользователям предлагается скачать троянизированные варианты кошельков с ресурсов, не имеющих никакого отношения к Apple App Store.
По умолчанию на устройства под iOS, если они не взломаны, невозможно поставить ПО откуда-либо, кроме Apple App Store. Однако с помощью схемы с provisioning-профилями зараженные версии криптокошельков могут быть установлены на устройство жертвы.
«Provisioning-профили могут быть нескольких видов», - пишут исследователи. - «Один из них — Enterprise-профили. Они созданы для того, чтобы организации могли разрабатывать и устанавливать на устройства своих сотрудников приложения для внутреннего пользования без публикации в App Store и без ограничений по числу устройств. Именно Enterprise-профили нередко используются разработчиками кряков, читов, онлайн-казино, пиратских модификаций популярных программ и вредоносного ПО».
Фишинговые приложения, выявленные в App Store, как раз и использовали эту схему.
Вредоносные программы мимикрировали под такие кошельки как MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. Далеко не все из них доступны пользователям из КНР в силу региональных ограничений. Это сыграло злоумышленникам на руку.
«Мы также обнаружили несколько похожих приложений, в которых отсутствовала фишинговая функциональность, но при этом имелись все признаки, указывающие на связь со злоумышленниками. Предполагаем, что вредоносные функции могут быть встроены со следующими обновлениями», - говорится в публикации на SecureList.ru.
Не мытьём, так катаньем
Стоит отметить, что вредоносные приложения имитировали очень разные кошельки, в том числе, т.н. «холодные» (например, Ledger). В то время как целью всех этих приложений было извлечь мнемонические фразы (seed-фразы), различия в архитектуре потребовали от злоумышленников разных подходов.
«В большинстве случаев зловред внедрялся через инъекцию вредоносной библиотеки, но нам также встречались сборки с модифицированным исходным кодом приложений», - говорится в исследовании.
Приложения - имитаторы кошельков Trust (горячий) и Ledger (холодный) - отличаются присутствием специальных функций перехвата мнемоники. У «холодных» кошельков «ключи хранятся на отдельном устройстве без подключения к интернету, и приложение в этом случае выполняет роль пользовательского интерфейса и не имеет к ним доступа», - говорится в публикации Kaspersky. - Поэтому, чтобы заполучить криптоактивы жертвы, злоумышленники прибегают к старому доброму фишингу».
Фишинговая страница, которую открывает приложение, предлагает пользователю вручную ввести мнемонические фразы, - естественно, сразу же шифруя их и отправляя их на сервер злоумышленников.
«Мнемонические фразы считаются последним эшелоном защиты криптокошельков: зная их, пользователь может воссоздать свой (или чужой) криптокошелёк на любом устройстве и обладать полным контролем над его содержимым, - отмечает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - Единственное, что можно порекомендовать пользователям, - это тщательнейшим образом проверять происхождение криптоприложения, в частности, сверять наименование разработчика и структуры, опубликовавшей то или иное приложение. Ну, и, конечно, отслеживать публикации, посвящённые угрозам подобного рода».
Практически все фишинговые приложения были доступны только пользователям китайского App Store и сами зараженные кошельки распространялись с фишинговых страниц также на китайском языке. К настоящему моменту большинство из них уже удалены.
На прошлой неделе стало известно о том, что поддельный криптокошелёк Ledger для компьютеров macOS был размещён Apple App Store, и успел нанести многомиллионный ущерб.
Как правило, вредоносные компоненты подгружаются в приложения, размещённые в App Store, после того, как те пройдут все проверки.
Поделиться
Короткая ссылка
