Более 20 вредоносных приложений в Google Play атакуют пользователей с помощью фраз-предложений

Недавнее расследование, проведенное компанией Cyble, занимающейся анализом угроз, выявило кампанию, нацеленную на пользователей криптовалюты через Google Play Store, с использованием более 20 вредоносных приложений для Android.

Было обнаружено, что эти приложения, замаскированные под надежные криптокошельки, такие как SushiSwap, PancakeSwap, Hyperliquid и Raydium, собирают 12-словные мнемонические фразы пользователей — ключи, которые открывают доступ к их криптовалютным средствам.

Эти приложения имитируют интерфейсы легитимных кошельков, заманивая пользователей на ввод конфиденциальных фраз восстановления. После ввода злоумышленники могут получить доступ к настоящим кошелькам и опустошить их. Хотя Google удалила многие из этих поддельных приложений после отчета Cyble, несколько из них остаются активными в магазине и были помечены для удаления.

Согласно отчету Cyble, переданному Hackread.com, мошеннические приложения носят названия и иконки известных криптоплатформ и появляются под учетными записями разработчиков, которые ранее размещали настоящие приложения, включая игры, загрузчики видео и инструменты для потоковой передачи. Эти учетные записи, некоторые из которых имеют более 100 000 загрузок, по-видимому, были взломаны и перепрофилированы для распространения вредоносных приложений.

В нескольких случаях приложения используют инструмент разработки, известный как «Median framework», чтобы быстро превратить фишинговые веб-сайты в приложения Android. Приложения загружают эти фишинговые страницы непосредственно в WebView, встроенное окно браузера, которое запрашивает у пользователей их мнемоническую фразу под видом доступа к кошельку.

Кампания не только широкомасштабна, но и скоординирована по своей инфраструктуре. Один фишинговый домен, обнаруженный Cyble, был связан с более чем 50 похожими доменами, все из которых являются частью более масштабных усилий по компрометации безопасности кошелька.

Исследователи Cyble также заметили закономерность в том, как работают эти поддельные приложения. Многие из них включают в свои политики конфиденциальности ссылки, которые на самом деле ведут на фишинговые сайты, предназначенные для кражи фраз восстановления кошелька пользователей. Приложения также, как правило, следуют схожим стилям именования, что указывает на использование автоматизированных инструментов для быстрого их создания и публикации.

Вдобавок ко всему, несколько приложений подключены к тем же серверам или веб-сайтам, показывая, что они являются частью более масштабных, организованных усилий. Некоторые из поддельных доменов, связанных с этими приложениями, включают:

• bullxnisbs
• hyperliqwsbs
• raydifloydcz
• sushijamessbs
• pancakefentfloydcz

Эти домены выдают себя за различных поставщиков кошельков и обслуживают страницы, предназначенные для обмана пользователей, чтобы те передали им свои seed-фразы. Между тем, частичный список вредоносных приложений, любезно предоставленный Cyble, доступен ниже:

1. Райдий
2. SushiSwap
3. Кошелек Suit
4. Гипержидкость
5. BullX Крипто
6. Блинный обмен
7. Метеора Биржа
8. OpenOcean Биржа
9. Блог о финансировании урожая

Несмотря на усилия по удалению приложений, кампания продолжается. На момент написания этого отчета несколько из них остаются активными в Play Store. Быстрое копирование этих приложений с использованием готовых фреймворков предполагает, что злоумышленники могли бы легко раскрутить больше поддельных приложений, если бы их быстро не заблокировали.

Это представляет серьезный риск. В отличие от традиционного банкинга, здесь нет защитной сетки от кражи криптовалют. После того, как кошелек опустошается, средства практически невозможно вернуть.

Компания Cyble поделилась подробными индикаторами компрометации (IOC), включая названия приложений, идентификаторы пакетов и фишинговые домены, которые специалисты по безопасности могут использовать для блокировки или дальнейшего расследования.

Эта кампания продолжает показывать, как злоумышленники продолжают атаковать и без того уязвимое криптопространство через официальные каналы, такие как магазины приложений. В то время как платформы приложений работают над тем, чтобы отлавливать вредоносные загрузки, пользователи остаются на стороне этих угроз кибербезопасности . Поэтому пользователям настоятельно рекомендуется быть бдительными и следовать этим шагам, чтобы защитить себя:

Обращайте внимание на такие тревожные сигналы, как низкое количество отзывов, недавно переизданные приложения или ссылки на странные домены в политиках конфиденциальности.

• Избегайте загрузки и установки ненужных приложений.

• Включите Google Play Protect, чтобы помочь выявить потенциально опасные приложения.

• Используйте биометрическую безопасность и двухфакторную аутентификацию, где это возможно.

• Всегда будьте осторожны при загрузке приложений из сторонних и официальных магазинов.

• Никогда не вводите фразу из 12 слов в какое-либо приложение или на веб-сайт, если вы не уверены в ее подлинности.