Хакер #305. Многошаговые SQL-инъекции
Эксперт компании ESET Лукас Стефанко (Lukas Stefanko) нашел в Google Play сразу два фейковых кошелька для криптовалют. Исследователь пишет, что такая активность мошенников его совсем не удивляет, ведь в мае 2019 года биткоин обновил 12-месячный максимум, и цена криптовалюты превысила 8800 долларов.
Первую подделку заметили пользователи Reddit — это было решение, появившееся в каталоге 1 мая 2019 года, имитирующее приложение популярного аппаратного кошелька Trezor и использующее название Trezor Mobile Wallet. Эта фальшивка попросила пользователей ввести учетные данные и отправляла их на сервер, контролируемый злоумышленниками. Хуже того, приложение выводилось вторым результатом при поиске «Trezor» в Google Play, сразу после настоящего официального приложения. К счастью, скачать его успели лишь 50+ человек.
Однако атака не удалась, Стефанко отмечает, что учитывая многочисленные уровни безопасности Trezor, атакующие не смогли причинить вреда пользователям, хотя скомпрометированные таким образом адреса электронной почты и другие личные данные в будущем могут потенциально использоваться для фишинговых атак.
Еще одно фиктивное приложение использовало название Coin Wallet - Bitcoin, Ripple, Ethereum, Tether (далее просто Coin Wallet) и имело немало общего с фальшивым приложением Trezor. Так, обе фальшивки оказались связанны с одним и тем же сервером (coinwalletinc[.]сom), а также были обнаружены сходства в их исходных кодах и интерфейсах.
Приложение было доступно в каталоге Google Play с 7 февраля 2019 года по 5 мая 2019 года, и за это время его успели загрузить более 1000 человек. Фальшивка якобы позволяла пользователям создавать кошельки для различных криптовалют, но на самом деле все работало куда проще. Coin Wallet лишь делало вид, что генерирует уникальный адрес кошелька, тогда как на самом деле этот адрес принадлежал злоумышленниками, и только у них имелся закрытый ключ, необходимый для доступа к средствам. Атакующие предусмотрительно завели кошелек для каждой поддерживаемой приложением криптовалюты (всего 13 кошельков), и все новые пользователи приложения «генерировали» для себя именно эти адреса.
Стефанко отмечает, что обе фальшивки, похоже, были созданы на базе шаблонного Android-приложения для криптовалюты, доступного в сети за 40 долларов. Сам по себе шаблон не является вредоносным, однако позволяет злоумышленникам быстро создавать простые и дешевые мошеннические приложения.
В настоящее время Trezor Mobile Wallet и Coin Wallet уже удалены из каталога приложений Google Play.