Gli utenti e gli appassionati di criptovaluta vengono presi di mira da attori malintenzionati con app di wallet falsi che rubano i loro preziosi token, hanno scoperto i ricercatori.
Ricercatori di sicurezza informatica affidabili hanno scoperto che alcuni dei portafogli di criptovaluta più famosi al mondo vengono contraffatti da cloni (si apre in una nuova scheda) contenenti malware.
I prodotti Coinbase, MetaMask, TokenPocket e imToken sono tra quelli interessati e gli attori delle minacce hanno creato app che sembrano identiche alle app legittime, ma con una differenza fondamentale: hanno una backdoor in grado di rubare le passphrase delle persone. La passphrase, o chiave segreta, è una stringa di parole utilizzata per recuperare o caricare un portafoglio esistente nella nuova app.
Decine di milioni di potenziali bersagli
Le persone lo usano quando dimenticano le password, installano l'app su un nuovo dispositivo o devono caricare un portafoglio su un altro dispositivo.
Essendo dannose, queste app non possono essere trovate nei repository di app ufficiali come Play Store o App Store. Invece, gli attori delle minacce si affidano alla distribuzione dell'applicazione tramite pagine web, che promuovono attraverso tecniche SEO nere, avvelenamento SEO, marketing sui social media, promozioni nei forum, annunci dannosi, ecc.
I ricercatori non sono stati in grado di dire quante persone sono state indotte a scaricare queste app, ma l'app Coinbase da sola ha più di 10 milioni di download solo su Android.
Per quanto riguarda le vittime, gli aggressori sembrano prendere di mira principalmente la popolazione asiatica. I risultati del motore di ricerca di Baidu sono stati i più colpiti dalla campagna, indirizzando "enormi quantità" di traffico (si apre in una nuova scheda) verso siti che ospitano app dannose.
Anche gli stessi aggressori sembrano essere asiatici. Confident li chiama SeaFlower e crede che siano cinesi sulla base di indizi sottili come la lingua dei commenti nel codice sorgente, l'ubicazione dell'infrastruttura e i framework e i servizi utilizzati.
La campagna sembra essere attiva almeno da marzo di quest'anno, afferma Confident, aggiungendo che si tratta "della minaccia tecnicamente più sofisticata rivolta agli utenti Web3, seconda solo al famigerato Lazarus Group".
Via: BleepingComputer (si apre in una nuova scheda)