کارشناسان کمپین سرقت ارزهای دیجیتال از کاربران اندروید و آیفون را کشف کردند

[Bot]

1401/01/05

 

"این برنامه های مخرب توانستند عبارات بذر قربانیان قربانیان را با جعل کردن Coinbase، Imtoken، Metamask، Wallet Trust، Bitpie، TokenPocket، OneKey،" گفت: Lukáš Štefanko، پژوهشگر ارشد بدافزار در ESET در یک گزارش به اشتراک گذاشته شده با اخبار هکر.

ESET، که از سال 2021 میلادی این کمپین را ردیابی کرده است، آن را به کار یک گروه جنایی اختصاص داده است.برنامه های کیف پول Cryptocurrency trojanized به گونه ای طراحی شده اند که آنها عملکرد مشابهی از همتایان اصلی خود را تکرار می کنند، در حالی که همچنین شامل تغییرات کد مخرب است که باعث می شود سرقت از دارایی های رمزنگاری را فعال کند.

"این برنامه های مخرب همچنین تهدید دیگری برای قربانیان را نشان می دهد، زیرا بعضی از آنها عبارات بذر قربانی را به سرور مهاجم ارسال می کنند، با استفاده از یک اتصال HTTP ناامن،""این به این معنی است که وجوه قربانیان نمی تواند نه تنها توسط اپراتور این طرح، بلکه همچنین توسط مهاجم متفاوتی از یک شبکه مشابه به سرقت رفته است."

 

در یک پیچ و تاب منحصر به فرد، برنامه ها، یک بار نصب شده، بسته به سیستم عامل دستگاه های تلفن همراه به خطر افتاده، پیکربندی می شوند.در آندروید، برنامه ها به کاربران Cryptocurrency هدایت می شوند که هنوز هیچ کدام از برنامه های کیف پول هدفمند نصب نشده اند، در حالی که در iOS، قربانیان می توانند هر دو نسخه نصب شده باشند.

همچنین لازم به ذکر است که برنامه های کیف پول جعلی به طور مستقیم در فروشگاه App iOS موجود نیست.در عوض آنها تنها می توانند با بازدید از یکی از وب سایت های مخرب با استفاده از پروفیل های پیکربندی که امکان نصب برنامه های کاربردی اپل و از منابع خارج از فروشگاه App را فراهم می کنند، دانلود کنید.

تحقیقات همچنین 13 برنامه Rogue را کشف کرد که به عنوان کیف پول Jaxx Liberty در فروشگاه Google Play Masqueraded، که از آن زمان از سال 2002 از بازار Android App حذف شده بود. آنها به طور جمعی بیش از 1100 بار نصب شده بودند.

"هدف آنها به سادگی این بود که علامت بازیابی بذر کاربر را از بین ببرد و آن را به سرور مهاجم یا یک گروه چت تلگرام مخفی ارسال کند."

با بازیگران تهدید در پشت این عملیات، به طور فعال شرکای را از طریق رسانه های اجتماعی و برنامه های پیام رسانی استخدام می کنند و به آنها یک درصد از پول دیجیتال دزدیده شده را ارائه می دهند، ESET هشدار می دهد که این حملات می تواند به سایر نقاط جهان در آینده منجر شود.

علاوه بر این، به نظر می رسد که کد منبع این تهدید در چند وب سایت چینی به اشتراک گذاشته شده و به اشتراک گذاشته شده است، که ممکن است بازیگران مختلف تهدید را جذب کند و این تهدید را حتی بیشتر گسترش دهد. "

[Bot]

2022/3/25

Researchers have blown the lid off a sophisticated malicious scheme primarily targeting Chinese users via copycat apps on Android and iOS that mimic legitimate digital wallet services to siphon cryptocurrency funds.

"These malicious apps were able to steal victims' secret seed phrases by impersonating Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket, or OneKey," said Lukáš Štefanko, senior malware researcher at ESET in a report shared with The Hacker News.

The wallet services are said to have been distributed through a network of over 40 counterfeit wallet websites that are promoted with the help of misleading articles posted on legitimate Chinese websites, as well as by means of recruiting intermediaries through Telegram and Facebook groups, in an attempt to trick unsuspecting visitors into downloading the malicious apps.

ESET, which has been tracking the campaign since May 2021, attributed it to the work of a single criminal group. The trojanized cryptocurrency wallet apps are crafted in such a manner that they replicate the same functionality of their original counterparts, while also incorporating malicious code changes that enable the theft of crypto assets.

"These malicious apps also represent another threat to victims, as some of them send secret victim seed phrases to the attackers' server using an unsecured HTTP connection," Štefanko said. "This means that victims' funds could be stolen not only by the operator of this scheme, but also by a different attacker eavesdropping on the same network."

The Slovak cybersecurity company said it found dozens of groups promoting malicious copies of these wallet apps on the Telegram messaging app that were in turn shared on at least 56 Facebook groups in hopes of landing new distribution partners for the fraudulent scheme.

"Based on the information acquired from these groups, a person distributing this malware is offered a 50 percent commission on the stolen contents of the wallet," ESET noted.

In a unique twist, the apps, once installed, are configured differently depending on the operating system of the compromised mobile devices. On Android, the apps are aimed at cryptocurrency users who do not yet have any of the targeted wallet applications already installed, while on iOS, the victims can have both versions installed.

It's also worth pointing out that fake wallet apps are not directly available on the iOS App Store. Rather they can only be downloaded by visiting one of the malicious websites using configuration profiles that make it possible to install applications that are not verified by Apple and from sources outside the App Store.

The investigation also unearthed 13 rogue apps that masqueraded as the Jaxx Liberty Wallet on the Google Play Store, all of which since been removed from the Android app marketplace as of January 2022. They were collectively installed more than 1,100 times.

"Their goal was simply to tease out the user's recovery seed phrase and send it either to the attackers' server or to a secret Telegram chat group," Štefanko said.

With the threat actors behind the operation actively recruiting partners through social media and messaging apps and offering them a percentage of the stolen digital currency, ESET warns that the attacks could spill over to other parts of the world in the future.

"Moreover, it seems that the source code of this threat has been leaked and shared on a few Chinese websites, which might attract various threat actors and spread this threat even further," Štefanko added.