- Підроблені програми для гаманця запитують свою 12-слівну фразу і тихо злийте криптовалюти
- Cril знайшов понад 20 програм для ігрових магазинів, побудованих виключно для викрадення криптовалют користувачів
- Зловмисні програми використовуються WebView для підробки реальних сторінок входу від Pancakeswap та інших
Нові дослідження Labs Cyble Research and Intelligence (CRIL) виявили масштабну фішинг-кампанію, в якій беруть участь понад 20 додатків для Android, перелічених у магазині Google Play.
Ці додатки, які, здавалося, були законними інструментами для гаманців криптовалюти, були створені з особливими цілями: крадіжки мнемонічних фраз, найважливіші 12-слобових клавіш, які забезпечують повний доступ до криптовалют.
Після компромісу жертви ризикують втратити цілі холдинги криптовалюти, не маючи можливості відновлення.
Як працюють програми і що робить їх небезпечними
Багато зловмисних додатків були побудовані за допомогою медіанної рамки, що дозволяє швидко перетворити веб -сайти в додатки Android.
Використовуючи цей метод, суб'єкти загрози вбудували фішинг -URL -адреси безпосередньо в код програми або в межах політики конфіденційності.
Потім ці посилання завантажуватимуть оманливі сторінки для входу за допомогою WebView, обдурюючи користувачів вводити свої мнемонічні фрази під помилковою вірою, вони взаємоділи з надійними послугами гаманця, такими як Pancakeswap, Sushiswap, Raydium та Hyperliquid.
Наприклад, шахрайський додаток Pankakeswap використовував URL HXXPS: // PancakeFentFloyd[.]cz/api.php, що призвело до фішингу, що імітує законний інтерфейс Pancakeswap.
Аналогічно, фальшивий додаток Raydium перенаправляв користувачів на hxxps: // piwalletblog[.]Блог для проведення подібної афери.
Незважаючи на варіанти брендингу, ці додатки поділилися загальною метою: вилучення ключів приватного доступу користувачів.
Аналіз CRIL показав, що фішинг -інфраструктура, що підтримує ці програми, була великою. IP -адреса 94.156.177[.]209, який використовується для розміщення цих шкідливих сторінок, був пов'язаний з понад 50 іншими фішингами.
Ці домени імітують популярні криптовалюти та повторно використовуються в декількох додатках, що вказує на централізовану та добре проведену операцію.
Деякі шкідливі програми навіть були опубліковані під обліковими записами розробників, раніше пов'язаними з законним програмним забезпеченням, такими як ігрові або потокові програми, що ще більше знижує підозру користувача.
Ця тактика ускладнює виявлення, оскільки навіть просунуті інструменти мобільної безпеки можуть боротися за виявлення загроз, прихованих за знайомим брендингом або профілями розробників.
Щоб захистити від таких атак, CRIL радить користувачам завантажувати програми лише у перевірених розробників та уникати будь -якої, що вимагає конфіденційної інформації.
Використовуючи авторитетне програмне забезпечення для захисту від Android Andivirus або Endpoint, а також забезпечення включення Google Play Protect, додає важливий, хоча і не непогрішний, шар оборони.
Сильні, унікальні паролі та багатофакторна автентифікація повинні бути стандартною практикою, а функції біометричної безпеки повинні бути ввімкнено, коли вони доступні.
Користувачі також повинні уникати натискання підозрілих посилань, отриманих за допомогою SMS або електронної пошти, і ніколи не вводити конфіденційну інформацію в мобільні додатки, якщо їхня легітимність не буде впевнена.
Зрештою, жоден законний додаток ніколи не повинен вимагати повної мнемонічної фрази через підказку входу. Якщо це станеться, це, швидше за все, вже пізно.
Повний список 22 підроблених додатків, щоб уникнути
- 1. Обмін млицем
Пакет: Co.Median.android.pkmxaj
Політика конфіденційності: hxxps: //pancakefentfloyd.cz/privatepolicy.html - 2. Суєт Гамець
Пакет: Co.Median.android.ljqjry
Політика конфіденційності: hxxps: //suietsiz.cz/privatepolicy.html - 3. Гіперлікіда
Пакет: Co.Median.android.jroylx
Політика конфіденційності: hxxps: //hyperliqw.sbs/privatepolicy.html - 4. Райдій
Пакет: Co.Median.android.yakmje
Політика конфіденційності: hxxps: //raydifloyd.cz/privatepolicy.html - 5. Гіперлікіда
Пакет: Co.Median.android.aaxblp
Політика конфіденційності: hxxps: //hyperliqw.sbs/privatepolicy.html - 6. Криптовалюта Bullx
Пакет: Co.Median.android.ozjwka
Політика конфіденційності: hxxps: //bullxni.sbs/privatepolicy.html - 7. Орвідеокейський обмін
Пакет: Co.Median.android.ozjjkx
Політика конфіденційності: hxxps: //openoceansi.sbs/privatepolicy.html - 8. Суєт Гамець
Пакет: Co.Median.android.mpeaaw
Політика конфіденційності: hxxps: //suietsiz.cz/privatepolicy.html - 9. Обмін метеора
Пакет: Co.Median.android.kbxqaj
Політика конфіденційності: hxxps: //meteorafloydoverdose.sbs/privatepolicy.html - 10. Райдій
Пакет: Co.Median.android.epwzyq
Політика конфіденційності: hxxps: //raydifloyd.cz/privatepolicy.html - 11. Сушисвап
Пакет: Co.Median.android.pkezyz
Політика конфіденційності: hxxps: //sushijames.sbs/privatepolicy.html - 12. Райдій
Пакет: Co.Median.android.pkzylr
Політика конфіденційності: hxxps: //raydifloyd.cz/privatepolicy.html - 13. Сушисвап
Пакет: Co.Median.android.brlljb
Політика конфіденційності: hxxps: //sushijames.sbs/privatepolicy.html - 14. Гіперлікіда
Пакет: Co.Median.android.djerqq
Політика конфіденційності: hxxps: //hyperliqw.sbs/privatepolicy.html - 15. Суєт Гамець
Пакет: Co.Median.android.epeall
Політика конфіденційності: hxxps: //suietwz.sbs/privatepolicy.html - 16. Криптовалюта Bullx
Пакет: Co.Median.android.braqdy
Політика конфіденційності: hxxps: //bullxni.sbs/privatepolicy.html - 17. Блог урожаю фінансів
Пакет: Co.Median.android.ljmeob
Політика конфіденційності: hxxps: //harvestfin.sbs/privatepolicy.html - 18. Обмін млицем
Пакет: Co.Median.android.djrdyk
Політика конфіденційності: hxxps: //pancakefentfloyd.cz/privatepolicy.html - 19. Гіперлікіда
Пакет: Co.Median.android.epbdbn
Політика конфіденційності: hxxps: //hyperliqw.sbs/privatepolicy.html - 20. Суєт Гамець
Пакет: Co.Median.android.noxmdz
Політика конфіденційності: hxxps: //suietwz.sbs/privatepolicy.html - 21. Райдій
Пакет: Cryptoknowledge.raes
Політика конфіденційності: hxxps: //www.termsfeed.com/live/a4ec5c75-145c-47b3-8b10-d43164f83bfc - 22. Млинці
Пакет: com.cryptoknowledge.quizzz
Політика конфіденційності: hxxps: //www.termsfeed.com/live/a4ec5c75-145c-47b3-8b10-d43164f83bfc
