Кинеската продавница за апликации на Apple е инфилтрирана од апликации за кражба на крипто паричници

Сет од 26 злонамерни апликации на Apple App Store се претставуваат како популарни крипто-паричници, како што се Metamask, Coinbase, Trust Wallet и OneKey, со цел да украдат фрази за обновување (seed фрази) и да им ги испразнат криптовалутните средства на корисниците.

Напаѓачот користел повеќе методи за имитирање на официјални производи, вклучувајќи typosquatting (злоупотреба на слични имиња) и лажно брендирање, за да ги намами корисниците во Кина да ги преземат овие апликации.

Бидејќи ваквите апликации се ограничени во земјата, напаѓачот ги објавил како игри или апликации за калкулатор, најверојатно со надеж дека корисниците ќе ги перцепираат како трик за заобиколување на забраните.

Истражувачите од Kaspersky велат дека сите 26 лажни апликации се дел од иста кампања, која ја нарекле FakeWallet, и ја поврзуваат со операцијата SparkKitty која трае уште од минатата година.

Откако ќе се отворат, апликациите ги пренасочуваат корисниците кон phishing страници дизајнирани да изгледаат како легитимни портали за крипто-услуги.

Овие страници ги убедуваат жртвите да преземат тројанизирани апликации за крипто-паричници користејќи iOS provisioning профили — легитимна enterprise функција што се злоупотребува за да се инсталира малициозен софтвер (malware) на нивните уреди. Истата техника беше забележана и во операцијата SparkKitty.

Тројанизираните апликации содржат дополнителен код што ги пресретнува мнемоничките (seed) фрази за време на поставување на паричникот или на екрани за обновување, ги шифрира со RSA и Base64, и ги испраќа до напаѓачот.

За „ладни“ паричници како Ledger, напаѓачите се потпираат на phishing пораки внатре во апликацијата кои ги мамат корисниците рачно да ги внесат своите seed фрази преку лажни екрани за безбедносна верификација.

Овие фрази, кои ги поседува само вистинскиот сопственик на паричникот, се наменети за пренос или обновување на паричникот на нови уреди и не бараат дополнителна потврда или лозинки.

Затоа, напаѓачите можат да ги искористат за да го обноват паричникот на сопствени уреди и да ги испразнат средствата, без можност за враќање на украдените криптовалути.

Kaspersky забележува дека кампањата првенствено ги таргетира корисниците во Кина. Сепак, самиот малициозен софтвер нема географски ограничувања, па може да влијае на корисници глобално доколку операторите одлучат да го прошират опсегот на напади.

Сопствениците на криптовалути се советуваат внимателно да го проверуваат издавачот на апликациите што ги преземаат, дури и кога се од официјални продавници за апликации, и да користат исклучиво линкови обезбедени на официјалните веб-страници.

Минатата недела беше откриено дека измамничка Ledger апликација која се појавила на Apple App Store украла криптовалути во вредност од 9,5 милиони долари од 50 корисници на macOS.

Apple ги отстрани сите 26 FakeWallet апликации од App Store по одговорното пријавување од страна на Kaspersky.

BleepingComputer стапи во контакт со Apple со прашања за тоа како напаѓачите успеале да ги заобиколат проверките на App Store, но до моментот на објавување не беше добиен одговор.

Извори:

• Bleeping Computer – China’s Apple App Store infiltrated by crypto-stealing wallet apps Bleeping Computer