Криптовалюта пользователей мобильных устройств под угрозой

Компания «Доктор Веб» предупреждает о распространении троянских программ, созданных для кражи криптовалют у владельцев мобильных устройств. Вредоносные приложения похищают секретные seed-фразы, которые необходимы для доступа к криптокошелькам. При этом риску подвержены пользователи как Android-устройств, так и смартфонов Apple, сообщает IKSMEDIA.

Обнаруженные троянские приложения скрываются в модифицированных злоумышленниками версиях популярных криптокошельков. В настоящее время наши специалисты фиксируют случаи внедрения вредоносного кода в копии таких приложений как imToken, MetaMask, Bitpie и TokenPocket, однако этот список может оказаться шире. Известные модификации выявленных угроз детектируются Dr.Web как трояны из семейств Android.CoinSteal и IPhoneOS.CoinSteal. Среди них — Android.CoinSteal.7, Android.CoinSteal.8, Android.CoinSteal.10, IPhoneOS.CoinSteal.1, IP honeOS.CoinSteal.2, IPhoneOS.CoinSteal.3 и другие.

Троянские версии криптокошельков распространяются через вредоносные сайты, копирующие внешний вид и функциональность оригинальных веб-ресурсов соответствующих проектов. Адреса таких сайтов также максимально приближены к настоящим, что в сочетании с методами социальной инженерии может увеличить шансы на успешный обман потенциальных жертв.

В зависимости от типа устройства, с которого посещаются поддельные сайты, пользователям предлагается загрузить и установить версию кошелька для соответствующей платформы — Android или iOS. Загрузка Android-версий троянов чаще всего происходит непосредственно с посещенного вредоносного ресурса. При этом владельцы iOS-устройств обычно перенаправляются на другой сайт, оформленный в стиле официального каталога приложений Apple. Это еще один прием злоумышленников, призванный обмануть потенциальных жертв.

Несмотря на то, что в обеих операционных системах установка программ из сторонних источников по умолчанию отключена или не предусмотрена, она по-прежнему возможна. Так, на Android-устройствах для этого достаточно включить необходимую опцию в системных настройках. А в случае устройств компании Apple мошенники применяют механизм установки через специальные профили конфигурации (configuration profiles) и профили обеспечения (provisioning profiles). Такие профили некоторые компании используют, например, для распространения ПО среди своих сотрудников, минуя App Store. При этом для установки не требуется, чтобы iOS-устройства были разблокированы («взломаны») и имели jailbreak.

Поскольку трояны являются копиями настоящих приложений с минимальными модификациями, они работают точно так же, как и оригиналы, и по внешним признакам отличить их друг от друга практически невозможно. Например, на скриншоте ниже зеленым цветом выделен значок безопасной версии кошелька MetaMask (4.1.1), загруженной в App Store, и красным — троянской версии приложения (3.8.2).

После установки троянов вся вредоносная активность проходит незаметно для жертв. Она заключается в краже секретной мнемонической seed-фразы, которая уникальна для каждого криптокошелька и защищает его от доступа посторонних. Фактически, seed-фраза — это аналог мастер-пароля. Получив ее, киберпреступники смогут добраться до хранящейся в кошельке криптовалюты и украсть ее. При этом риску подвержены владельцы как уже имеющихся кошельков, так и вновь создаваемых.

Специалисты компании «Доктор Веб» рекомендуют пользователям устанавливать программы-криптокошельки только из официальных каталогов приложений и не загружать их из сторонних источников. При этом важно обращать внимание на имеющиеся отзывы, а также признаки возможной подделки — отсутствие более старых версий, наличие опечаток в описании, несоответствие скриншотов фактической функциональности.

Отдельно эксперты отмечают, что в связи с возросшими рисками ограничения работы Google Play, App Store и других каталогов ПО в России рекомендуется заранее установить необходимые  приложения. Мошенники могут воспользоваться ситуацией с потенциальной блокировкой и начать интенсивнее распространять вредоносные программы под видом оригиналов как через поддельные сайты, так и через другие каналы — например, облачные сервисы и файлообменные сети.