מחקר: תרמית לגניבת מטבעות דיגיטליים ממשתמשי אנדרואיד ואייפון
מאת:
מערכת Telecom News, 29.3.22, 15:05
התוקפים השתמשו באפליקציות זדוניות אותן הפיצו באמצעות אתרי אינטרנט מזויפים, שחיקו שירותי ארנקי מטבעות דיגיטליים מוכרים דוגמת Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken ו-OneKey. התרמית הופצה גם באמצעות קבוצות טלגרם ופייסבוק.
חברת אבטחת המידע
ESET מדווחת על הונאה לגניבת מטבעות קריפטו, שמכוונת נגד משתמשים של טלפונים ניידים במערכות אנדרואיד או
iOS.
התוקפים השתמשו באפליקציות זדוניות אותן הפיצו באמצעות אתרי אינטרנט מזויפים, שחיקו שירותי ארנקי מטבעות דיגיטליים מוכרים דוגמת
Metamask,
Coinbase,
Trust Wallet,
TokenPocket,
Bitpie,
imToken ו-
OneKey.
את האתרים המזויפים התוקפים הפיצו וקידמו באמצעות פרסומות באתרים לגיטימיים, שהובילו את הגולשים למאמרים מטעים. כדי להתקדם אף יותר בהפצת האתרים, גייסו גם גורמים נוספים, שיפיצו את התרמית הזו באמצעות קבוצות טלגרם ופייסבוק.
המטרה העיקרית של האפליקציות הזדוניות היא לגנוב את כספם של המשתמשים. עם עליית הפופולריות של המטבעות הדיגיטליים, החברה צופה, שהטכניקות הללו תתפשטנה ברחבי העולם.
במאי 2021, איתרו במחלקת המחקר של החברה עשרות אפליקציות של ארנקי מטבעות דיגיטליים הנגועות בסוסים טרויאניים. זהו וקטור התקפה מתוחכם: יוצר הנוזקה ביצע ניתוח מעמיק של האפליקציות הלגיטימיות, שנוצלו בתרמית הזאת, כדי להצליח להחדיר את הקוד הזדוני למקומות בהם יהיה קשה לזהות אותו, תוך כדי שווידא, שהאפליקציות המזויפות תתפקדנה באופן דומה לאפליקציות המקוריות. בשלב זה, בחברה מעריכים, שמדובר בעבודה של קבוצת עבריינים אחת.
לוקס סטפנקו, חוקר אבטחת המידע של
ESET: "האפליקציות המזויפות יוצרות איום נוסף לקורבנות באמצעות שימוש בתקשורת
HTTP לא מאובטחת, שמאפשרת לתוקפים נוספים לצותת לרשת ולגנוב מטבעות בעצמם. בנוסף, חלק מהאפליקציות הזדוניות היו זמינות להורדה מחנות האפליקציות של גוגל.
דוגמה לאפליקציה מזויפת:
בטלגרם, אפליקציית המסרים חוצת-הפלטפורמות הפופולרית, שכוללת אפשרויות פרטיות והצפנה מיוחדות, החברה גילתה עשרות קבוצות המקדמות עותקים זדוניים של ארנקי מטבעות דיגיטליים ניידים.
אנו מעריכים, שהקבוצות האלו נוצרו ע״י גורם האיום, שעומד מאחורי התרמית, כדי לאתר שותפי הפצה נוספים, ואנו יודעים, שהפעילות הזאת פועלת החל ממאי 2021. גילינו, שהחל מאוקטובר 2021, קבוצות הטלגרם האלו שותפו וקודמו ב-56 קבוצות פייסבוק לכל הפחות, שלהן מטרה זהה - איתור שותפי הפצה נוספים.
נוסף על וקטורי ההפצה האלה, גילינו עשרות אתרי ארנקים מזויפים המכוונים למשתמשי סמארטפונים באופן בלעדי. ביקור באחד מהאתרים האלה עלול להוביל את הקורבן הפוטנציאלי להורדה של אפליקציית ארנק דיגיטלי המודבקת בסוס טרויאני לפלטפורמות אנדרואיד ו-
iOS.
האפליקציה הזדונית מתנהגת באופן שונה בהתאם למערכת ההפעלה, שעליה הותקנה. במערכת אנדרואיד נראה, שהאפליקציה מכוונת למשתמשי מטבעות דיגיטליים, שבמכשיר הטלפון שלהם אין אפליקציית ארנק לגיטימית. ב-
iOS, ניתן להתקין את 2 האפליקציות במקביל - הלגיטימית מחנות האפליקציות והזדונית מאתר האינטרנט.
בנוגע ל-
iOS, האפליקציות הזדוניות אינן זמינות בחנות האפליקציות - הקורבן צריך להוריד ולהתקין אותן באמצעות פרופילי הגדרה, שמוסיפים אישור חתימת קוד שרירותי. בנוגע לחנות האפליקציות של גוגל – על בסיס הבקשה שלנו
כשותפים ב-Google App Defense Alliance, גוגל הסירה בינואר 2022 13 אפליקציות זדוניות, שנמצאו בחנות האפליקציות הרשמית.
בנוסף נראה, שקוד המקור של האיום הזה הודלף והופץ באתרים נוספים, מה שעלול לעודד גורמי איום אחרים להמשיך ולהפיץ את האיום הזה.
בזמן הפרסום, שער הביטקוין ירד כמעט בחצי מהשיא שלו, שנקבע לפני 4 חודשים. עבור משקיעים במטבעות דיגיטליים, זה בדיוק הזמן להיבהל ולמשוך את הכספים שלהם, או לקפוץ על ההזדמנות ולקנות מטבעות דיגיטליים במחיר נמוך. אם אתם שייכים לאחת מ-2 הקבוצות האלה, כדאי לכם לבחור בזהירות את האפליקציה הניידת בה תשתמשו כדי לנהל את המטבעות שלכם״.
המחקר המלא בליווי תמונות
- כאן.