I ricercatori hanno spazzato via un sofisticato schema dannoso che prende di mira principalmente gli utenti cinesi tramite app copycat su Android e iOS che imitano servizi di portafoglio digitale legittimi per sottrarre fondi di criptovaluta.
“Queste app dannose sono state in grado di rubare le frasi iniziali segrete delle vittime impersonando Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket o OneKey”, ha affermato Lukáš Štefanko, ricercatore di malware senior presso ESET in un rapporto condiviso con The Hacker News.
Si dice che i servizi di portafoglio siano stati distribuiti attraverso una rete di oltre 40 siti Web di portafoglio contraffatti promossi con l’aiuto di articoli ingannevoli pubblicati su siti Web cinesi legittimi, nonché tramite il reclutamento di intermediari tramite gruppi Telegram e Facebook, nel tentativo per indurre i visitatori ignari a scaricare le app dannose.
ESET, che segue la campagna da maggio 2021, l’ha attribuita al lavoro di un unico gruppo criminale. Le app del portafoglio di criptovaluta trojanizzate sono realizzate in modo tale da replicare la stessa funzionalità delle loro controparti originali, incorporando anche modifiche al codice dannoso che consentono il furto di risorse crittografiche.
“Queste app dannose rappresentano anche un’altra minaccia per le vittime, poiché alcune di esse inviano frasi segrete per le vittime al server degli aggressori utilizzando una connessione HTTP non protetta”, ha affermato Štefanko. “Ciò significa che i fondi delle vittime potrebbero essere rubati non solo dall’operatore di questo schema, ma anche da un altro aggressore che intercetta la stessa rete”
La società di sicurezza informatica slovacca ha affermato di aver trovato dozzine di gruppi che promuovono copie dannose di queste app di portafoglio sull’app di messaggistica di Telegram che sono state a loro volta condivise su almeno 56 gruppi di Facebook nella speranza di trovare nuovi partner di distribuzione per lo schema fraudolento.
“Sulla base delle informazioni acquisite da questi gruppi, a una persona che distribuisce questo malware viene offerta una commissione del 50% sul contenuto rubato del portafoglio”, ha osservato ESET.
In una svolta unica, le app, una volta installate, sono configurate in modo diverso a seconda del sistema operativo dei dispositivi mobili compromessi. Su Android, le app sono rivolte agli utenti di criptovaluta che non hanno ancora nessuna delle applicazioni di portafoglio mirate già installate, mentre su iOS le vittime possono avere entrambe le versioni installate.
Vale anche la pena sottolineare che le app del portafoglio falso non sono direttamente disponibili sull’App Store iOS. Piuttosto possono essere scaricati solo visitando uno dei siti Web dannosi utilizzando profili di configurazione che consentono di installare applicazioni non verificate da Apple e da fonti esterne all’App Store.
L’indagine ha anche portato alla luce 13 app canaglia mascherate da Jaxx Liberty Wallet sul Google Play Store, che da allora sono state tutte rimosse dal mercato delle app Android a partire da gennaio 2022. Sono state installate collettivamente più di 1.100 volte.
“Il loro obiettivo era semplicemente quello di eliminare la frase iniziale di ripristino dell’utente e inviarla al server degli aggressori o a un gruppo di chat segreto di Telegram”, ha affermato Štefanko.
Con gli attori delle minacce dietro l’operazione che reclutano attivamente partner attraverso i social media e le app di messaggistica e offrono loro una percentuale della valuta digitale rubata, ESET avverte che gli attacchi potrebbero estendersi ad altre parti del mondo in futuro.
“Inoltre, sembra che il codice sorgente di questa minaccia sia trapelato e condiviso su alcuni siti Web cinesi, il che potrebbe attirare vari attori delle minacce e diffondere ulteriormente questa minaccia”, ha aggiunto Štefanko.
Fonte: thehackernews
