ESET Research ha scoperto e rintracciato un sofisticato schema maligno di criptovalute che prende di mira i dispositivi mobili che utilizzano sistemi operativi Android o iOS (iPhone). Le applicazioni dannose sono distribuite attraverso siti web falsi, imitando i legittimi servizi di portafoglio come Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken e OneKey. Questi falsi siti web sono promossi con annunci inseriti in siti legittimi utilizzando articoli fuorvianti. Inoltre, gli attori della minaccia stanno reclutando intermediari attraverso i gruppi Telegram e Facebook per distribuire ulteriormente questo schema dannoso. L’obiettivo principale delle app dannose è quello di rubare i fondi degli utenti e fino ad ora ESET Research ha visto questo schema principalmente rivolto agli utenti cinesi. Poiché le criptovalute stanno guadagnando popolarità, ESET si aspetta che queste tecniche si diffondano in altri mercati.
A partire da maggio 2021, la ricerca ha scoperto decine di app di portafogli di criptovalute troianizzate. Si tratta di un vettore di attacco sofisticato in quanto l’autore del malware ha effettuato un’analisi approfondita delle applicazioni legittime utilizzate in questo schema, consentendo l’inserimento del proprio codice dannoso in luoghi in cui sarebbe stato difficile da rilevare, assicurandosi anche che tali app artigianali avessero la stessa funzionalità delle originali. ESET Research ritiene che questo sia probabilmente il lavoro di un gruppo criminale.
“Queste app maligne rappresentano anche un’altra minaccia per le vittime, poiché alcune di esse inviano frasi segrete al server degli aggressori utilizzando una connessione HTTP non protetta. Questo significa che i fondi delle vittime potrebbero essere rubati non solo dall’operatore di questo schema, ma anche da un diverso attaccante che origlia sulla stessa rete“, dice Lukáš Štefanko, ricercatore ESET che ha scoperto lo schema. “Abbiamo anche scoperto 13 app dannose che impersonano il portafoglio Jaxx Liberty. Queste app erano disponibili sul Google Play store“, aggiunge.
Su Telegram ESET ha trovato decine di gruppi che promuovono copie dannose di portafogli mobili di criptovaluta.
Si presume che questi gruppi siano stati creati dall’attore minaccioso dietro questo schema alla ricerca di ulteriori partner di distribuzione e questa attività è in corso dal maggio 2021. A partire da ottobre 2021, abbiamo scoperto che questi gruppi Telegram sono stati condivisi e promossi in almeno 56 gruppi Facebook con lo stesso obiettivo – cercare altri partner di distribuzione. Nel novembre 2021, abbiamo individuato la distribuzione di portafogli malevoli, utilizzando due siti web cinesi legittimi.
Oltre a questi vettori di distribuzione, abbiamo scoperto decine di altri siti web di portafogli contraffatti che prendono di mira esclusivamente gli utenti mobili. Visitare uno di questi siti web potrebbe portare una potenziale vittima a scaricare un’app troianizzata del portafoglio per Android o per la piattaforma iOS.
L’app dannosa si comporta in modo diverso a seconda del sistema operativo su cui è stata installata. Su Android, sembra prendere di mira i nuovi utenti di criptovalute che non hanno ancora un’applicazione legittima di portafoglio installata sui loro dispositivi. Su iOS, la vittima può avere entrambe le versioni installate quella legittima da App Store e quella dannosa da un sito web.
Per quanto riguarda iOS, queste applicazioni dannose non sono disponibili su App Store; devono essere scaricate e installate utilizzando profili di configurazione, che aggiungono un certificato arbitrario di fiducia con firma del codice. Per quanto riguarda Google Play, sulla base della nostra richiesta come partner di Google App Defense Alliance, nel gennaio 2022, Google ha rimosso 13 applicazioni dannose trovate sullo store ufficiale.
Inoltre, sembra che il codice sorgente di questa minaccia sia trapelato e condiviso su alcuni siti web cinesi, che potrebbero attirare vari attori di minacce e diffondere ulteriormente questa minaccia.
“Al momento della pubblicazione, il prezzo del bitcoin è diminuito quasi della metà dal suo massimo storico circa quattro mesi fa. Per gli investitori di criptovalute, questo potrebbe essere il momento di farsi prendere dal panico e ritirare i loro fondi, o per i nuovi arrivati di cogliere l’occasione e comprare criptovalute ad un prezzo inferiore. Se appartieni a uno di questi gruppi, dovresti scegliere attentamente quale applicazione mobile usare per gestire i tuoi fondi“, consiglia Štefanko.
