Специалисты ESET обнаружили в официальном каталоге приложений Google Play мошенническую кампанию, целью которой оказались пользователи популярной криптовалютной биржи Poloniex.

Poloniex – одна из ведущих бирж, на которой можно торговать более чем 100 криптовалютами. И, конечно, как это часто бывает, популярность площадки привлекает внимание мошенников. Так, на этот раз злоумышленники воспользовались отсутствием официального мобильного приложения Poloniex и распространяли вредоносные приложения под видом легитимных.

Первое вредоносное приложение, POLONIEX, от одноименного разработчика, проникло в официальный каталог еще минувшим летом. С 28 августа по 19 сентября его установили до 5000 пользователей, несмотря на противоречивые оценки и негативные отзывы. Второе приложение, POLONIEX EXCHANGE производства POLONIEX COMPANY, появилось в Google Play 15 октября и его успели установить около 500 раз.

Оба приложения предназначались для кражи аккаунтов Poloniex. Ведь для получения доступа к учетной записи пользователя, мошенникам нужны были логин и пароль от аккаунта биржи, а также от электронной почты, привязанной к аккаунту. Кроме того, поддельное приложение не должно было вызывать подозрений.

Действовали мошенники просто. Сразу после запуска вредоносного приложения на экране появлялась фальшивая форма ввода логина и пароля Poloniex. Введенные учетные данные отправлялись злоумышленникам. Если жертва не использовала двухфакторную аутентификацию, сразу после этого атакующие получали доступ к аккаунту и получали возможность выполнять транзакции и менять настройки, включая пароль.

Перехватив логин и пароль от Poloniex, злоумышленники также пытались получить доступ к почтовому ящику Gmail. Для этого на экран зараженного устройства выводилось окно, предлагающее войти в Gmail для «проверки безопасности». Получив доступ к аккаунту Poloniex и связанному аккаунту электронной почты, атакующие получали возможность проводить операции со счетом и удалять любые уведомления из входящих сообщений.

Интересно, что для поддержания видимости нормальной работы и усыпления бдительности жертв при каждом запуске приложения переадресовывали пользователя на мобильную версию легитимного сайта Poloniex.

В настоящее время, после предупреждения от специалистов ESET, обе подделки уже были удалены из Google Play.



3 комментария

  1. Themistocles

    02.11.2017 at 21:59

    удивляет не наличие приложения как такового, а количество положительных отзывов…

  2. MiguSan

    03.11.2017 at 09:46

    это те, кто без двухфакторной аутентификации и еще не поняли, что их кошельки почистили.

  3. john_

    16.11.2017 at 14:47

    Ну все обнаруживают и обнаруживают))) может пора гуглу алгоритмы менять? Или нанимать 10000 азиатов для моделирования

Оставить мнение