21/03/24
Уже не в первый раз в популярном магазине Linux-приложений Snap Store от Canonical появляются мошеннические криптовалютные кошельки под видом известных брендов. Ранее, в феврале этого года, исследователями безопасности уже было зафиксировано появление аналогичных поддельных приложений. С их помощью злоумышленникам удалось похитить около 490 тысяч долларов в биткоинах у доверчивых пользователей.
На этот раз в Snap Store было загружено сразу десять фальшивых кошельков, имитирующих такие популярные приложения, как Exodus, Polygon, Metamask, Tronlink и т.п. Все они были опубликованы сомнительным издателем с кодовым названием «digisafe00000», однако позже были повторно переопубликованы с аккаунта «codeshield0x0000». Это пишет Securitylab.
Одно из таких приложений под идентификатором «exodus-build-96567» подробно рассмотрел независимый исследователь Алан Поуп. Приложение маскируется под настоящий кошелёк Exodus, обещая пользователям безопасное хранение и обмен различных криптовалют в одном удобном интерфейсе.
Создатели мошеннической программы постарались на славу, имитируя официальный магазин приложений и используя привлекательные описания. «Забудьте об управлении миллионом разных кошельков и сидфразами. Безопасно храните, управляйте и обменивайте все ваши любимые активы в одном прекрасном и простом в использовании кошельке», — гласила реклама.
Однако доверять этим заявлениям было чревато самыми печальными последствиями. При попытке создать новый кошелёк приложение выдавало ошибку, однако если ввести фразу для восстановления уже существующего кошелька, эти критически важные данные немедленно отправлялись на удалённый сервер мошенников.
Тщательный анализ кода вредоносного приложения выявил встроенный словарь, содержащий тысячи допустимых слов, используемых в качестве фраз для восстановления криптокошельков. При вводе корректной фразы из 12, 18 или 24 слов эта информация немедленно передавалась злоумышленникам посредством HTTP-запроса, что позволяло им получить полный доступ к средствам жертвы.
Более того, мошенническое приложение периодически пинговало удалённый сервер, передавая ему конкретное название установленной программы. Вероятно, таким образом злоумышленники отслеживали активных пользователей для дальнейших атак или сбора статистики.
После обнаружения инцидента команда Canonical была уведомлена, а фальшивые кошельки оперативно удалены. Однако эта победа оказалась лишь временной. Спустя всего день поддельные приложения вернулись, но уже под новым аккаунтом (вышеупомянутым «codeshield0x0000»).
Таким образом, борьба с подобными приложениями может продолжаться вечно, однако наиболее разумным решением стало бы ужесточение проверки приложений, публикуемых в официальном магазине Canonical, особенно если эти приложения тесно связаны с криптовалютой и финансами.
В современном мире киберпреступники не дремлют, совершенствуя свои методы обмана с каждым днём. Поэтому пользователям жизненно важно сохранять бдительность, скачивать программы только из заслуживающих полного доверия источников и никогда не передавать критически важные данные сомнительным сервисам.
