Πριν από λίγο καιρό και συγκεκριμένα το Μάρτιο, ερευνητές ασφαλείας ανακάλυψαν μια κακόβουλη επιχείρηση μεγάλης κλίμακας που χρησιμοποιεί trojanized cryptocurrency wallet apps που μιμούνται υπηρεσίες Coinbase, MetaMask, TokenPocket και imToken.
Οι ερευνητές της Confiant ονόμασαν αυτή την κακόβουλη δραστηριότητα “SeaFlower” και την περιέγραψαν ως “την πιο εξελιγμένη τεχνικά απειλή που στοχεύει χρήστες web3, αμέσως μετά τη διαβόητη ομάδα Lazarus”.
Δείτε επίσης: Τι τεχνικές χρησιμοποιούν οι χάκερ για να κλέψουν τα crypto σας
Σύμφωνα με την έκθεση των ερευνητών, τα κακόβουλα cryptocurrency apps είναι πανομοιότυπα με τα πραγματικά, αλλά διαθέτουν ένα backdoor που μπορεί να κλέψει το security phrase των χρηστών, επιτρέποντας στους επιτιθέμενους να αποκτήσουν πρόσβαση στα digital assets.
Οι ερευνητές πιστεύουν ότι πίσω από την επιχείρηση SeaFlower βρίσκονται Κινέζοι hackers. Έχουν καταλήξει σε αυτό το συμπέρασμα παρατηρώντας διάφορα στοιχεία, όπως τη γλώσσα των comments στο source code, την τοποθεσία της υποδομής, τα frameworks και τις υπηρεσίες που χρησιμοποιούνται.
Πώς γίνεται η διανομή των κακόβουλων cryptocurrency apps;
Στόχος των hackers είναι να διανείμουν τα κακόβουλα cryptoccurency wallet apps σε όσο το δυνατόν περισσότερους χρήστες. Για να το πετύχουν αυτό, χρησιμοποιούν κλώνους νόμιμων sites, SEO poisoning και τεχνικές black SEO.
Είναι επίσης πιθανό οι εφαρμογές να προωθούνται μέσω social media, forum και κακόβουλων διαφημίσεων, αλλά το κύριο κανάλι διανομής που παρατήρησε η Confiant είναι οι υπηρεσίες αναζήτησης. Οι ερευνητές ανακάλυψαν ότι τα αποτελέσματα αναζήτησης από τη μηχανή Baidu επηρεάζονται περισσότερο από την επιχείρηση SeaFlower, κατευθύνοντας τεράστια ποσά επισκεψιμότητας στους κακόβουλους ιστότοπους.
Δείτε επίσης: FakeCrack: Malware διανέμεται μέσω ψεύτικου Windows CCleaner Pro!
Στο iOS, οι ιστότοποι κάνουν κατάχρηση των provisioning profiles για να κάνουν side-loading των κακόβουλων εφαρμογών στη συσκευή και να παρακάμψουν τις προστασίες.
Τα provisioning profiles χρησιμοποιούνται για τη σύνδεση προγραμματιστών και συσκευών με μια εξουσιοδοτημένη ομάδα development. Επιτρέπουν τη χρήση συσκευών για τη δοκιμή του κώδικα εφαρμογής, καθιστώντας τα μια αποτελεσματική μέθοδο για την προσθήκη κακόβουλων εφαρμογών σε μια συσκευή.
Backdoored apps
Οι αναλύσεις των εφαρμογών από τους ερευνητές της Confiant δείχνουν ότι υπάρχει παρόμοιος κώδικας σε όλα τα κακόβουλα cryptocurrency wallet apps με το backdoor.
Για την εφαρμογή MetaMask στο iOS, ο κώδικας backdoor ενεργοποιείται κατά τη δημιουργία της seed phrase και προτού αποθηκευτεί σε κρυπτογραφημένη μορφή. Αυτό σημαίνει ότι ο παράγοντας απειλής παρεμβαίνει στο pass phrase όταν δημιουργεί ένα νέο πορτοφόλι ή όταν προσθέτει ένα υπάρχον σε μια πρόσφατα εγκατεστημένη εφαρμογή.
Δείτε επίσης: Πώς να βρείτε αν τα passwords σας έχουν διαρρεύσει στο διαδίκτυο;
Μία από τις προσδιοριζόμενες λειτουργίες στον κώδικα του backdoor ονομάζεται “startupload” και είναι υπεύθυνη για την κλοπή του seed phrase και την αποστολή του σε domains που μιμούνται αυτούς των νόμιμων προμηθευτών.
Σύμφωνα με τους ερευνητές, οι επιτιθέμενοι χρησιμοποίησαν POST requests για να εξάγουν pass phrases στο “trx.lnfura[.]org” – το οποίο υποδύεται το γνήσιο “infura.io”. Ομοίως, χρησιμοποίησαν το ‘metanask[.]cc’, το οποίο μιμείται το domain του MetaMask.
Στις Android εκδόσεις των κακόβουλων cryptocurrency wallet apps, οι ερευνητές μπόρεσαν να αποκτήσουν πρόσβαση σε περισσότερες λειτουργίες χωρίς μεγάλη προσπάθεια. Ένα ενδιαφέρον στοιχείο ήταν η εισαγωγή ενός React Native Bundle απευθείας στο RCTBridge instance για φόρτωση JavaScript.
Αν είστε κι εσείς χρήστες cryptocurrency, πρέπει να είστε πολύ προσεκτικοί και να κάνετε λήψη cryptocurrency wallet apps μόνο από αξιόπιστες πηγές, όπως επίσημα καταστήματα εφαρμογών ή από τον ιστότοπο του προγραμματιστή. Για χρήστες iOS, η εγκατάσταση ή αποδοχή provisioning profiles χωρίς έλεγχο της νομιμότητας των αιτημάτων, δεν είναι σωστή, καθώς αυτά επιτρέπουν την εγκατάσταση οποιασδήποτε εφαρμογής σε συστήματα iOS ή macOS.
Πηγή: www.bleepingcomputer.com