Специалист ESET Лукас Стефанко (Lukas Stefanko) обнаружил в официальном каталоге приложений Google приложение-клиппер, то есть малварь, подменяющую данные в буфере обмена (от термина clipboard, «буфер обмена»).
Стефанко напоминает, что клипперы сами по себе явление не новое, и подобная малварь давно атакует пользователей Windows. В последние годы злоумышленники также не оставляют без внимания и пользователей Android. К примеру, летом прошлого года аналитики «Доктор Веб» предупреждали о трояне Android.Clipper, способном подменять в буфере обмена номера кошельков самых разных платежных систем и криптовалют.
Однако до настоящего времени клипперы для Android распространялись через сторонние магазины приложений, взломанные сайты и другие подобные ресурсы, а теперь эксперт ESET обнаружил малварь именно в Google Play.
Стефанко нашел в официальном каталоге сразу несколько приложений, маскировавшихся под популярное приложение криптовалютных кошельков MetaMask. Антивирусные продукты ESET детектируют подделку как Android/Clipper.C.
Основной целью операторов малвари была кража учетных данных и приватных ключей, необходимых для получения доступа к кошелькам пользователей. Помимо этого приложение работало и как клиппер: заменяло любые адреса Bitcoin- и Ethereum-кошельков пользователей на адреса атакующих. К сожалению, специалисты ESET не сообщают ничего о количестве пострадавших, а также о том, сколько удалось «заработать» операторам этой подделки. Известно лишь, что в настоящее время малварь уже была удалена из Google Play.
Напомню, что это не первый случай, когда популярностью MetaMask пользуются мошенники. К примеру, в ноябре 2018 года эксперты ESET уже находили в Google Play подделки, замаскированные под легитимные криптовалютные сервисы, предназначавшиеся для кражи учетных данных пользователей. Среди них и тогда было приложение MetaMask.