Специалисты по безопасности нашли вредоносную программу в магазине приложений для Android, которая предназначалась для кражи учетных данных пользователей и их криптовалюты.
Под маской Metamask
Эксперты из компании ESET, работающей в области кибербезопасности, сообщили об обнаружении фишингового приложения в Google Play, которое было замаскировано под криптовалютный сервис Metamask, который используется для обращения к блокчейну Ethereum и управления криптовалютными активами. Приложение работало по классической фишинговой схеме. Вирус-клиппер перехватывал содержимое буфера обмена и незаметно подменял адрес кошелька получателя на адрес, принадлежащий злоумышленнику. В результате транзакции пользователь подписывал ключом и сам отправлял свои средства хакеру.
Впервые эта форма вредоносного ПО появилась в 2017 году в приложениях для Windows, а летом 2018 года ее нашли в теневых магазинах приложений для Android.
«Несмотря на некоторую новизну метода по краже криптовалюты, выполненной с помощью изменения содержимого буфера обмена, его можно считать уже устоявшимся видом вредоносного ПО», — говорится в заявлении ESET.
Помимо этого, обнаруженный мальварь крал учетные данные пользователя и его приватные ключи, что передавало в руки злоумышленника возможность управлять криптовалютой. Вредоносное приложение было загружено в магазин приложений для Android 1 февраля 2019 года. После обнаружения командой ESET мальварь был удален из Google Play.
На адресе Ethereum, который появлялся в строке получателя и принадлежал, по всей видимости, злоумышленнику, в настоящее время находится около $1 в ETH. Очевидно, что приложение не смогло пока обогатить киберпреступника.