Специалист компании ESET Лукаш Стефанко (Lukas Stefanko) продолжает находить малварь в официальном каталоге Google Play. Напомню, что Стефанко регулярно обнаруживает угрозы в официальном каталоге приложений. Например, в конце октября текущего года эксперт нашел в Google Play сразу 29 банковских троянов, а в сентябре добился удаления шести фальшивых приложений, маскировавшихся под официальную продукцию банков и криптовалютных бирж.
Теперь Стефанко обнаружил в каталоге еще одну порцию вредоносных приложений, замаскированных под легитимные криптовалютные сервисы и предназначавшихся для кражи учетных данных пользователей. Злоумышленники действовали двумя разными путями.
Так, приложение MetaMask (кошелек для криптовалюты Ethereum) работало по классической фишинговой схеме. После установки и запуска пользователю предлагали ввести приватный ключ и пароль от своего криптовалютного кошелька. Если жертва соглашалась, эти данные оказывались в распоряжении злоумышленников.
Вторая схема, в свою очередь, была связана с подделкой кошельков. Таким образом действовали приложения NEO и Tether, созданные тем же автором (или группой авторов). Настоящие криптовалютные кошельки генерируют для пользователя приватный ключ и публичный адрес для перевода средств. Подделки же показывали пользователю публичный адрес кошелька атакующих. Криптовалюту, переведенную на такой адрес, невозможно было вернуть без приватного ключа, доступ к которому в итоге оставался только у злоумышленников.
При этом эксперт подчеркивает, что самый неприятный нюанс этой ситуации состоит в том, что поддельные приложения были созданы с помощью широкодоступного конструктора мобильных приложений Drag-n-Drop. Он позволяет «собирать» подобные программы без каких-либо специальных знаний и навыков. Стефанко пишет, что если стоимость криптовалют вновь станет расти, явно можно ожидать появления огромного количества таких простых и вредоносных приложений.