Gli esperti di ESET hanno scoperto dozzine di app Android e iOS trojanizzate, distribuite tramite siti Web che imitano servizi legittimi per sottrarre fondi di criptovaluta.
Questo sofisticato schema dannoso è stato distribuito tramite siti Web falsi, imitando servizi di portafogli digitali legittimi come Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken e OneKey.
“Si tratta di un sofisticato vettore di attacco poiché l’autore del malware ha effettuato un’analisi approfondita delle applicazioni legittime utilizzate in modo improprio in questo schema, consentendo l’inserimento del proprio codice dannoso in punti in cui sarebbe difficile da rilevare, assicurandosi anche che tale le app avevano le stesse funzionalità degli originali”, si legge nel report.
ESET, che segue questa campagna da maggio 2021, ritiene che si tratti del lavoro di un singolo aggressore o, più probabilmente, di un gruppo criminale.
In merito al vettore di distribuzione, ESET Research ha identificato oltre 40 siti Web imitativi di popolari digital cryptocurrency wallet, i quali prendono di mira solo gli utenti mobili e offrono loro il download di app di portafoglio dannose.
“Siamo stati in grado di tracciare il vettore di distribuzione di questi cryptocurrency wallet trojanizzati fino a maggio 2021 in base alla registrazione del dominio fornita per queste app dannose in natura, nonché alla creazione di diversi gruppi di Telegram che hanno iniziato a cercare partner affiliati”.
A partire da ottobre 2021, questi gruppi di Telegram sono stati condivisi e promossi in almeno 56 gruppi di Facebook, con lo stesso obiettivo di cercare più partner di distribuzione.
Gli esperti hanno scoperto anche 13 app dannose che impersonano il Jaxx Liberty Wallet e che erano disponibili su Google Play Store.
Nel novembre 2021, è stata individuata la distribuzione di wallet dannosi, utilizzando due siti Web legittimi, rivolti a utenti in Cina, e nella categoria “Investimenti e gestione finanziaria” degli stessi sono stati scoperti fino a sei articoli che promuovono mobile cryptocurrency wallets utilizzando siti Web copycat, portando gli utenti a scaricare applicazioni mobili dannose che si dichiarano legittime e affidabili, abusando dei nomi di cryptocurrency wallets legittimi come imToken, Bitpie, MetaMask, TokenPocket, OneKey e Trust Wallet.
A dicembre 2021, l’attore della minaccia ha pubblicato un articolo su un sito Web cinese legittimo nella categoria Blockchain News circa l’ultimo divieto di criptovaluta di Pechino, e un elenco di cryptocurrency wallet per aggirare l’attuale divieto. L’elenco consiglia di utilizzare cinque portafogli: imToken, Bitpie, MetaMask, TokenPocket e OneKey, tutti siti non ufficiali per i wallet, ma piuttosto siti Web che imitano i servizi legittimi.
Infine, oltre a questi vettori di distribuzione, sono stati scoperti dozzine di altri siti Web di wallet contraffatti rivolti esclusivamente agli utenti mobili.
“Visitare uno dei siti Web potrebbe portare una potenziale vittima a scaricare una wallet app trojanizzata per Android o piattaforma iOS”.
L’obiettivo principale di queste app dannose è rubare i fondi degli utenti e, al momento, mirano principalmente gli utenti cinesi. Inoltre, rappresentano un’altra minaccia per le vittime, in quanto alcune di esse inviano frasi seed segrete delle vittime al server degli aggressori utilizzando una connessione HTTP non protetta, il che significa che i fondi delle vittime potrebbero essere rubati non solo dall’operatore di questo schema ma anche da un altro aggressore che intercetta la stessa rete.
