Experts ontdekken campagne die cryptovaluta van Android- en iPhone-gebruikers steelt

Cryptocurrency from Android and iPhone Users Nachrichten

Onderzoekers hebben het deksel van een geavanceerd kwaadaardig plan geblazen dat voornamelijk gericht is op Chinese gebruikers via copycat-apps op Android en iOS die legitieme digitale portemonnee-services nabootsen om cryptocurrency-fondsen over te hevelen.

“Deze kwaadaardige apps waren in staat om geheime seed-frases van slachtoffers te stelen door zich voor te doen als Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket of OneKey,” zei Lukáš Štefanko, senior malware-onderzoeker bij ESET in een rapport gedeeld met The Hacker News.

De portefeuillediensten zouden zijn gedistribueerd via een netwerk van meer dan 40 valse portefeuillewebsites die worden gepromoot met behulp van misleidende artikelen die op legitieme Chinese websites zijn gepost, evenals door middel van het werven van tussenpersonen via Telegram- en Facebook-groepen, in een poging om nietsvermoedende bezoekers te misleiden om de kwaadaardige apps te downloaden.

ESET, dat de campagne sinds mei 2021 volgt, schreef deze toe aan het werk van een enkele criminele groep. De getrojaanse cryptocurrency wallet-apps zijn zo gemaakt dat ze dezelfde functionaliteit van hun oorspronkelijke tegenhangers repliceren, terwijl ze ook kwaadaardige codewijzigingen bevatten die de diefstal van crypto-activa mogelijk maken.

“Deze kwaadaardige apps vormen ook een andere bedreiging voor slachtoffers, aangezien sommige van hen geheime seed-frases van slachtoffers naar de server van de aanvallers sturen via een onbeveiligde HTTP-verbinding”, zei Štefanko. “Dit betekent dat het geld van slachtoffers niet alleen kan worden gestolen door de exploitant van dit systeem, maar ook door een andere aanvaller die op hetzelfde netwerk afluistert.”

Het Slowaakse cyberbeveiligingsbedrijf zei dat het tientallen groepen had gevonden die kwaadaardige kopieën van deze portemonnee-apps promootten op de Telegram-berichtenapp, die op hun beurt werden gedeeld op ten minste 56 Facebook-groepen in de hoop nieuwe distributiepartners te vinden voor het frauduleuze plan.

“Op basis van de informatie die van deze groepen is verkregen, krijgt een persoon die deze malware verspreidt een commissie van 50 procent op de gestolen inhoud van de portemonnee”, merkte ESET op.

In een unieke draai worden de apps, eenmaal geïnstalleerd, anders geconfigureerd, afhankelijk van het besturingssysteem van de gecompromitteerde mobiele apparaten. Op Android zijn de apps gericht op gebruikers van cryptocurrency die nog geen van de beoogde portemonnee-applicaties hebben geïnstalleerd, terwijl op iOS de slachtoffers beide versies kunnen hebben geïnstalleerd.

Het is ook de moeite waard om erop te wijzen dat nep-portemonnee-apps niet direct beschikbaar zijn in de iOS App Store. In plaats daarvan kunnen ze alleen worden gedownload door een van de kwaadaardige websites te bezoeken met behulp van configuratieprofielen die het mogelijk maken om applicaties te installeren die niet door Apple zijn geverifieerd en van bronnen buiten de App Store.

Het onderzoek bracht ook 13 malafide apps aan het licht die zich voordeden als de Jaxx Liberty Wallet in de Google Play Store, die sindsdien allemaal zijn verwijderd van de Android-app-marktplaats vanaf januari 2022. Ze werden gezamenlijk meer dan 1.100 keer geïnstalleerd.

“Hun doel was simpelweg om de recovery seed-frase van de gebruiker eruit te halen en deze naar de server van de aanvallers of naar een geheime Telegram-chatgroep te sturen”, zei Štefanko.

Nu de dreigingsactoren achter de operatie actief partners werven via sociale media en berichten-apps en hen een percentage van de gestolen digitale valuta aanbieden, waarschuwt ESET dat de aanvallen in de toekomst naar andere delen van de wereld kunnen overslaan.

“Bovendien lijkt het erop dat de broncode van deze dreiging is gelekt en gedeeld op een paar Chinese websites, die verschillende bedreigingsactoren kunnen aantrekken en deze dreiging nog verder kunnen verspreiden”, voegde Štefanko eraan toe.

David
Rate author
Hackarizona