Набор из 26 вредоносных приложений в Apple App Store маскировался под популярные кошельки, такие как Meta*mask, Coinbase, Trust Wallet и OneKey, с целью кражи сид-фраз или фраз восстановления и вывода криптовалютных активов.
Злоумышленник использовал различные методы для имитации официальных продуктов, включая тайпосквоттинг и поддельный брендинг, чтобы заманить пользователей в Китае на их загрузку.
Поскольку такие приложения в стране ограничены, злоумышленник публиковал их под видом игр или приложений-калькуляторов, вероятно, в надежде, что пользователи воспримут это как уловку для обхода запретов в стране.
Исследователи Kaspersky заявляют, что все 26 поддельных приложений являются частью одной кампании, которую они назвали FakeWallet, и связывают их с операцией SparkKitty, действующей с прошлого года.
После запуска приложения перенаправляют пользователей на фишинговые страницы, оформленные как легитимные порталы криптосервисов.
Эти сайты убеждают жертв загрузить зараженные вредоносным ПО версии кошельков с использованием профилей подготовки iOS (iOS provisioning profiles) — легитимной функции для корпоративных нужд, которая используется для боковой загрузки вредоносного ПО на устройства. Эта же техника наблюдалась и в SparkKitty.
Зараженные приложения содержат дополнительный код, который перехватывает мнемонические фразы во время настройки или восстановления кошелька, шифрует их с помощью RSA и Base64 и отправляет злоумышленнику.
Для холодных кошельков, таких как Ledger, злоумышленники полагаются на фишинговые запросы внутри приложений, которые вынуждают пользователей вручную вводить свои сид-фразы через поддельные экраны верификации безопасности.
Эти фразы, которые хранятся только у законного владельца кошелька, предназначены для переноса/восстановления кошелька на новые устройства и не требуют дополнительного подтверждения или паролей.
Таким образом, злоумышленники могут использовать их для восстановления кошелька жертвы на своих устройствах и опустошения его без возможности вернуть средства.
Kaspersky отметила, что кампания в первую очередь нацелена на пользователей в Китае. Однако само вредоносное ПО не имеет географических ограничений, поэтому оно может затронуть пользователей по всему миру, если операторы решат расширить сферу нацеливания.
Владельцам криптовалют рекомендуется дважды проверять издателя приложений, которые они загружают, даже из официальных магазинов приложений, и использовать только ссылки, предоставленные на официальном веб-сайте.
На прошлой неделе было обнаружено, что мошенническое приложение Ledger, попавшее в App Store от Apple, украло криптовалюты на сумму 9,5 миллиона долларов у 50 пользователей macOS.
Apple удалила все 26 приложений FakeWallet из App Store после ответственного раскрытия информации от Kaspersky.
BleepingComputer обратился к Apple с вопросами о процессе, который использовал злоумышленник для обхода проверок App Store, но на момент публикации ответа не получил.
99% того, что нашел Mythos, по-прежнему не пропатчено.
ИИ объединил четыре уязвимости нулевого дня в один эксплойт, который обошел как песочницы рендерера, так и песочницы ОС. Грядет волна новых эксплойтов.
На саммите по автономной валидации (12 и 14 мая) узнайте, как автономная, контекстно-богатая валидация находит то, что можно использовать, доказывает эффективность мер контроля и замыкает цикл устранения уязвимостей.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
