Хакер #305. Многошаговые SQL-инъекции
Специалисты ESET обнаружили в официальном каталоге приложений Google Play мошенническую кампанию, целью которой оказались пользователи популярной криптовалютной биржи Poloniex.
Poloniex – одна из ведущих бирж, на которой можно торговать более чем 100 криптовалютами. И, конечно, как это часто бывает, популярность площадки привлекает внимание мошенников. Так, на этот раз злоумышленники воспользовались отсутствием официального мобильного приложения Poloniex и распространяли вредоносные приложения под видом легитимных.
Первое вредоносное приложение, POLONIEX, от одноименного разработчика, проникло в официальный каталог еще минувшим летом. С 28 августа по 19 сентября его установили до 5000 пользователей, несмотря на противоречивые оценки и негативные отзывы. Второе приложение, POLONIEX EXCHANGE производства POLONIEX COMPANY, появилось в Google Play 15 октября и его успели установить около 500 раз.
Оба приложения предназначались для кражи аккаунтов Poloniex. Ведь для получения доступа к учетной записи пользователя, мошенникам нужны были логин и пароль от аккаунта биржи, а также от электронной почты, привязанной к аккаунту. Кроме того, поддельное приложение не должно было вызывать подозрений.
Действовали мошенники просто. Сразу после запуска вредоносного приложения на экране появлялась фальшивая форма ввода логина и пароля Poloniex. Введенные учетные данные отправлялись злоумышленникам. Если жертва не использовала двухфакторную аутентификацию, сразу после этого атакующие получали доступ к аккаунту и получали возможность выполнять транзакции и менять настройки, включая пароль.
Перехватив логин и пароль от Poloniex, злоумышленники также пытались получить доступ к почтовому ящику Gmail. Для этого на экран зараженного устройства выводилось окно, предлагающее войти в Gmail для «проверки безопасности». Получив доступ к аккаунту Poloniex и связанному аккаунту электронной почты, атакующие получали возможность проводить операции со счетом и удалять любые уведомления из входящих сообщений.
Интересно, что для поддержания видимости нормальной работы и усыпления бдительности жертв при каждом запуске приложения переадресовывали пользователя на мобильную версию легитимного сайта Poloniex.
В настоящее время, после предупреждения от специалистов ESET, обе подделки уже были удалены из Google Play.