Više od 20 lažnih kripto aplikacija otkriveno je na Google Play-u, koje su krale mnemoničke fraze korisnika. Aplikacije su se predstavljale kao poznati novčanici i koristile fišing sajtove za krađu podataka.
Cyble Research and Intelligence Labs (CRIL) je nedavno otkrio zlonamernu fišing kampanju usmerenu ka korisnicima kripto novčanika, u kojoj je više od 20 aplikacija na Google Play prodavnici bilo osmišljeno kako bi prevarilo korisnike i ukralo njihove poverljive podatke.
Ove obmanjujuće aplikacije su se predstavljale kao poznate platforme za kripto novčanike i pokušavale da prevare korisnike da otkriju svoje mnemoničke fraze, čime bi napadačima omogućili potpunu kontrolu nad njihovom digitalnom imovinom.
Zlonamerne aplikacije imitiraju pouzdane kripto novčanike
Prema izveštaju CRIL-a, fišing aplikacije su oponašale poznate kripto novčanike poput SushiSwap-a, PancakeSwap-a, Hyperliquid-a i Raydium-a, sa interfejsima koji su verno ličili na prave aplikacije. Korisnici su bili obmanjeni da unesu svoje 12-rečne mnemoničke fraze, čime su nesvesno predavali pristup svojim kripto sredstvima.
Ove aplikacije su bile dostupne direktno na Google Play-u, što im je davalo lažnu legitimnost. Napadači su koristili kompromitovane naloge programera koji su ranije objavljivali pouzdane aplikacije sa desetinama hiljada preuzimanja.
Tehnike fišinga i taktike distribucije
Zajednički element ovih fišing aplikacija bio je umetanje zlonamernih URL-ova u njihove politike privatnosti. Mnoge aplikacije su koristile slična imena paketa i opise, što ukazuje na koordinisani napad jedne ili više povezanih grupa. Ove taktike su pomogle da se prikrije prava svrha aplikacija i da se izbegne detekcija od strane automatskih sistema.
Aplikacije su često pravljene pomoću okvira poput Median, koji omogućava brzo pretvaranje veb-sajtova u Android aplikacije. U mnogim slučajevima, fišing veb-sajtovi su učitavani unutar aplikacija pomoću WebView komponente. Na primer, jedan od korišćenih URL-ova bio je: hxxps://pancakefentfloyd.cz/api.php, koji je imitirao PancakeSwap i zahtevao od korisnika da unesu svoje mnemoničke fraze.
Dalja tehnička analiza otkrila je da je IP adresa na kojoj se nalazio jedan od fišing domena (94.156.177.209) povezana sa više od 50 drugih fišing domena, što pokazuje koliko je ova kampanja razgranata i organizovana.
Foto: Pixabay.com
Spisak identifikovanih zlonamernih aplikacija:
CRIL je objavio detaljan pregled sa desetinama zlonamernih aplikacija, uključujući:
Pancake Swap (co.median.android.pkmxaj)
Suiet Wallet (co.median.android.ljqjry)
Hyperliquid (co.median.android.jroylx)
Raydium (co.median.android.yakmje)
BullX Crypto (co.median.android.ozjwka)
OpenOcean Exchange (co.median.android.ozjjkx)
Meteora Exchange (co.median.android.kbxqaj)
SushiSwap (co.median.android.pkezyz)
Dodatno, dve aplikacije su koristile drugačije oznake, ali su imale istu zlonamernu namenu:
Raydium (cryptoknowledge.rays)
PancakeSwap (com.cryptoknowledge.quizzz),
obe povezane sa istom fišing politikom privatnosti hostovanom putem TermsFeed servisa.
Koordinisana fišing operacija u svetu kripta
Ovo nije samo izolovan pokušaj prevaranata niskog nivoa. Infrastruktura iza ovih aplikacija, sa više od 50 povezanih fišing domena, ukazuje na dobro organizovanu operaciju usmerenu na sve brojniju bazu korisnika kriptovaluta. Lažno predstavljajući legitimne aplikacije na platformi kao što je Play Store, napadači su uspešno narušili poverenje korisnika i zaobišli konvencionalne mere bezbednosti.
Ako korisnik postane žrtva ovakvog fišing napada i unese svoju mnemoničku frazu, napadači odmah stiču pristup kripto novčaniku i mogu preneti sredstva - što je najčešće nepovratno. Za razliku od tradicionalnih bankarskih transakcija, kod kripta ne postoji jednostavan način za povraćaj sredstava.
Zaključak
Da bi se zaštitili od ovakvih fišing napada, korisnicima se snažno preporučuje sledeće:
Preuzimajte aplikacije isključivo od verifikovanih programera.
Izbegavajte aplikacije koje traže poverljive informacije poput mnemoničkih fraza.
Pažljivo proverite ocene i recenzije aplikacija, posebno ako su nedavno objavljene.
Aktivirajte Google Play Protect i koristite pouzdan antivirus program.
Omogućite višefaktorsku autentifikaciju i, gde je moguće, koristite biometrijsku zaštitu.
Ne otvarajte sumnjive linkove koje dobijete putem SMS-a ili e-pošte.
Autor: Marija Radić
