Хакеры SeaFlower крадут криптовалюту с помощью секретных бэкдоров в ваших кошельках Android и iOS

Seaflower Steal Crypto секретные бэкдоры Android IOS кошельки новости На прошлой неделе Федеральная торговая комиссия США (FTC) опубликовала отчет, согласно которому с 2021 года мошенники с криптовалютой выманили у американцев более 1 миллиарда долларов. Мошенничество с криптовалютой широко распространено в социальных сетях, а также в приложениях для обмена сообщениями, таких как Telegram. Мошенники часто торгуют именами знаменитостей, связанных с криптовалютой, таких как Джек Дорси и Илон Маск . Однако мошенничество — это лишь один из способов кражи криптовалюты злоумышленниками. Вместо того, чтобы обманом заставить ничего не подозревающих жертв передать свою криптовалюту, некоторые киберпреступники вместо этого обращаются к вредоносным программам, чтобы переманить криптовалюту самостоятельно.

Исследователи из Confian опубликовали свои выводы, в которых подробно описывается обширная кампания вредоносных программ, которую исследователи называют SeaFlower. Кампания нацелена на пользователей четырех разных криптовалютных кошельков на iOS и Android: MetaMask, Coinbase Wallet, imToken Wallet и TockenPocket Wallet. Угрозы, стоящие за SeaFlower, говорят по-китайски, судя по комментариям к коду, написанным на китайском языке, а также по ряду других индикаторов, отмеченных исследователями. Субъекты угрозы также, по-видимому, наиболее активно нацелены на других носителей китайского языка, проведя кампанию по отравлению SEO . это больше всего повлияло на результаты поиска китайской поисковой системы Baidu. Кампании по отравлению SEO используют методы поисковой оптимизации (SEO), чтобы вывести вредоносные веб-сайты в топ результатов поиска для законных веб-сайтов или служб.

Seaflower Steal Crypto секретные бэкдоры Android IOS кошельки coinbase новости
Вредоносный клон веб-сайта Coinbase Wallet (источник: Confiant)

В этом случае злоумышленники успешно создали вредоносные клоны веб-сайтов для законного кошелька криптовалюты. Вредоносные веб-сайты идентичны своим законным аналогам, но размещены на доменах, контролируемых злоумышленниками. Вредоносные веб-сайты содержат кнопки загрузки для приложений Android и iOS, но вместо того, чтобы перенаправлять пользователей в Google Play Store или Apple App Store, кнопки вместо этого пытаются загрузить приложения на устройства пользователей.

Seaflower Steal Crypto секретные бэкдоры android ios кошельки метамаски новости
Процесс установки вредоносного профиля iOS (источник: Confian )

В случае Android веб-сайты просто предоставляют APK-файл, который пользователи могут скачать и установить самостоятельно. Тем не менее, Apple не допускает простой боковой загрузки приложений, как на Android, поэтому вместо того, чтобы обслуживать установочный пакет, веб-сайты вместо этого пытаются настроить профиль обеспечения на устройствах iOS. Эти профили поставляются с ключами разработчика, которые позволяют загружать вредоносные приложения.

После установки вредоносные приложения выглядят и функционируют так же, как и законные приложения кошелька криптовалюты, которые они имитируют. Однако вредоносные приложения поставляются с бэкдорами, которые регистрируют исходные фразы, адреса и балансы кошелька и отправляют эту информацию злоумышленникам, стоящим за кампанией. Злоумышленники затем могут использовать исходные фразы для восстановления учетной записи и получения доступа к средствам в кошельках жертв. В некоторых случаях код, содержащий бэкдоры, зашифрован, а это означает, что любой, кто проверяет код на предмет злонамеренного поведения, должен сначала использовать прилагаемые криптографические ключи для расшифровки вредоносного кода, прежде чем обнаруживать, что этот код делает.

Чтобы не стать жертвой кампании вредоносных приложений, подобной этой, пользователи iOS никогда не должны разрешать установку внешних профилей обеспечения на свои устройства, а пользователям Android следует устанавливать приложения только из надежных источников. Все приложения-кошельки, на которые нацелена эта конкретная атака, можно найти в Google Play Store и Apple App Store, поэтому пользователям следует загрузить и установить их там.

Исследователи предоставили хэши одного из вредоносных приложений для Android и всех четырех вредоносных приложений для iOS, распространяемых в рамках кампании SeaFlower, чтобы другие могли идентифицировать вредоносные приложения.

Android-приложение Coinbase Wallet
SHA-256 APK:
83dec763560049965b524932dabc6bd6 252c7ca2ce9016f47c397293c6cd17a5

iOS-приложение Coinbase Wallet
SHA-256 проанализированного .IPA:
2334e9fc13b6fe12a6dd92f8bd65467cf 700f43fdb713a209a74174fdaabd2e2

Приложение MetaMask iOS
SHA-256 Проанализированный файл .IPA:
9003d11f9ccfe17527ed6b35f5fe33d28 e76d97e2906c2dbef11d368de2a75f8

iOS-приложение imToken Wallet
SHA-256 проанализированного .IPA:
1e232c74082e4d72c86e44f1399643ff b6f7836805c9ba4b4235fedbeeb8bdca

TokenPocket iOS Wallet
SHA-256 проанализированного файла .IPA:
46002ac5a0caaa2617371bddbdbc7eca 74cd9cb48878da0d3218a78d5be7a53a

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал