משתמשים באנדרואיד או אייפון? היזהרו מהתרמית

חברת אבטחת המידע ESET מדווחת על הונאה לגניבת מטבעות קריפטו שמכוונת נגד משתמשים של טלפונים ניידים במערכות אנדרואיד או iOS.

התוקפים השתמשו באפליקציות זדוניות אותן הפיצו באמצעות אתרי אינטרנט מזויפים שחיקו שירותי ארנקי מטבעות דיגיטליים מוכרים דוגמת Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken ו-OneKey. את האתרים המזויפים התוקפים הפיצו וקידמו באמצעות פרסומות באתרים לגיטימיים אשר הובילו את הגולשים למאמרים מטעים. כדי להתקדם אף יותר בהפצת האתרים, גייסו גם גורמים נוספים שיפיצו את התרמית הזו באמצעות קבוצות טלגרם ופייסבוק.

המטרה העיקרית של האפליקציות הזדוניות היא לגנוב את כספם של המשתמשים. עם עליית הפופולריות של המטבעות הדיגיטליים, ESET צופה שהטכניקות הללו יתפשטו ברחבי העולם.

דוגמה לאפליקציה זדונית.

בחודש מאי 2021, במחלקת המחקר של ESET איתרו עשרות אפליקציות של ארנקי מטבעות דיגיטליים אשר נגועות בסוסים טרויאניים. זהו וקטור התקפה מתוחכם – יוצר הנוזקה ביצע ניתוח מעמיק של האפליקציות הלגיטימיות שנוצלו בתרמית הזאת כדי להצליח להחדיר את הקוד הזדוני למקומות בהם יהיה קשה לזהות אותו, תוך כדי שווידא שהאפליקציות המזויפות יתפקדו באופן דומה לאפליקציות המקוריות. בשלב זה, ב-ESET מעריכים כי מדובר בעבודה של קבוצת עבריינים אחת.

חוקר אבטחת המידע של ESET, לוקס סטפנקו, מסביר: "האפליקציות המזויפות יוצרות איום נוסף לקורבנות באמצעות שימוש בתקשורת HTTP לא מאובטחת, שמאפשרת לתוקפים נוספים לצותת לרשת ולגנוב מטבעות בעצמם. בנוסף, חלק מהאפליקציות הזדוניות היו זמינות להורדה מחנות האפליקציות של גוגל".

עוד הוא מציין כי "בטלגרם, אפליקציית המסרים חוצת-הפלטפורמות הפופולרית, שכוללת אפשרויות פרטיות והצפנה מיוחדות, ESET גילתה עשרות קבוצות שמקדמות עותקים זדוניים של ארנקי מטבעות דיגיטליים ניידים. אנו מעריכים שהקבוצות האלה נוצרו ע״י גורם האיום שעומד מאחורי התרמית במטרה לאתר שותפי הפצה נוספים, ואנו יודעים שהפעילות הזאת פועלת החל ממאי 2021. גילינו שהחל מאוקטובר 2021, קבוצות הטלגרם האלה שותפו וקודמו ב-56 קבוצות פייסבוק לכל הפחות, שלהן מטרה זהה – איתור שותפי הפצה נוספים".

לדבריו, "נוסף על ווקטורי ההפצה האלה, גילינו עשרות אתרי ארנקים מזויפים שמכוונים למשתמשי טלפונים חכמים באופן בלעדי. ביקור באחד מהאתרים האלה עשוי להוביל את הקורבן הפוטנציאלי להורדה של אפליקציית ארנק דיגיטלי שמודבקת בסוס טרויאני לפלטפורמות אנדרואיד ו-iOS. האפליקציה הזדונית מתנהגת באופן שונה בהתאם למערכת ההפעלה שעליה הותקנה. במערכת אנדרואיד, נראה שהאפליקציה מכוונת למשתמשי מטבעות דיגיטליים שבמכשיר הטלפון שלהם אין אפליקציית ארנק לגיטימית. ב-iOS, ניתן להתקין את שתי האפליקציות במקביל – הלגיטימית מחנות האפליקציות והזדונית מאתר האינטרנט".

"בנוגע ל-iOS", אומר לוקס סטפנקו, "האפליקציות הזדוניות אינן זמינות בחנות האפליקציות – הקורבן צריך להוריד ולהתקין אותן באמצעות פרופילי הגדרה, שמוסיפים אישור חתימת קוד שרירותי. בנוגע לחנות האפליקציות של גוגל – על בסיס הבקשה שלנו כשותפים ב-Google App Defense Alliance, גוגל הסירה בינואר 2022 - 13 אפליקציות זדוניות שנמצאו בחנות האפליקציות הרשמית".

"בנוסף, נראה שקוד המקור של האיום הזה הודלף והופץ באתרים נוספים, מה שעשוי לעודד גורמי איום אחרים להמשיך ולהפיץ את האיום הזה".

"בזמן הפרסום, שער הביטקוין ירד כמעט בחצי מהשיא שלו, שנקבע לפני ארבעה חודשים. עבור משקיעים במטבעות דיגיטליים, זה בדיוק הזמן להיבהל ולמשוך את הכספים שלהם, או לקפוץ על ההזדמנות ולקנות מטבעות דיגיטליים במחיר נמוך. אם אתם שייכים לאחת משתי הקבוצות האלה, כדאי לכם לבחור בזהירות את האפליקציה הניידת בה תשתמשו כדי לנהל את המטבעות שלכם", מציע לוקס.

'בחדרי' גם ברשתות החברתיות - הצטרפו!