La società di sicurezza informatica ESET ha scoperto una rete di malware di valuta digitale che viene distribuita attraverso applicazioni troianizzate travestite da popolari portafogli di valuta digitale.
In un recente comunicato stampa, l’azienda slovacca ha rivelato che il sofisticato schema maligno di valuta digitale ha preso di mira i dispositivi mobili che utilizzano sia Android che iOS. Gli aggressori hanno distribuito le applicazioni dannose attraverso siti web falsi, imitando portafogli popolari tra cui Coinbase, TokenPocket, OneKey, Trust Wallet e Metamask.
ESET ha scoperto per la prima volta i portafogli troianizzati nel maggio 2021. L’azienda ha descritto la campagna come un “vettore di attacco sofisticato” in quanto ha coinvolto un’analisi approfondita delle applicazioni legittime per consentire l’inserimento del codice dannoso in modo tale che fosse estremamente difficile da rilevare per i professionisti della sicurezza, pur assicurandosi che le app false avessero la stessa funzionalità delle app originali.
ESET ritiene che le app false fossero il lavoro di un gruppo di criminali informatici.
Come la società ha rivelato ulteriormente, ha trovato diversi gruppi Telegram in cui venivano promosse copie maligne dei portafogli legittimi. Crede che sia stato il gruppo criminale dietro le app a iniziare questi gruppi per colpire un pubblico più ampio. A partire da ottobre 2021, questi gruppi si sono diffusi su Facebook, e più tardi quell’anno, stavano anche spingendo i loro portafogli falsi su almeno due siti web cinesi legittimi.
L’obiettivo principale dietro le app dannose è quello di rubare i beni digitali delle vittime, dice ESET, aggiungendo che hanno preso di mira principalmente gli utenti cinesi.
Attraverso una partnership che mantiene con Google, ESET ha notificato il gigante dei motori di ricerca dietro Android delle app dannose, portando al takedown di 13 app che si credeva fossero compromesse dagli aggressori.
“Queste app dannose rappresentano anche un’altra minaccia per le vittime, in quanto alcune di esse inviano frasi segrete al server degli aggressori utilizzando una connessione HTTP non protetta. Questo significa che i fondi delle vittime potrebbero essere rubati non solo dall’operatore di questo schema, ma anche da un diverso attaccante che origlia sulla stessa rete“, ha commentato Lukáš Štefanko, il ricercatore ESET che ha scoperto lo schema.
