Программы маскируются под популярные сервисы и воруют криптовалюту.
Даже если вы скачиваете приложения только из Google Play, это не всегда гарантирует безопасность — особенно если речь идёт о криптокошельках. Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили более 20 вредоносных Android-приложений, которые маскируются под популярные кошельки и незаметно крадут ключи от ваших цифровых активов.
Подделки копируют названия, иконки и интерфейсы таких известных сервисов, как SushiSwap, PancakeSwap, Hyperliquid, Raydium и другие. Оказавшись на телефоне, они просят пользователя ввести мнемоническую фразу — тот самый 12-словный «ключ от сейфа», необходимый для восстановления доступа к кошельку. Введёте — и ваши средства будут мгновенно выведены злоумышленниками.
Эти приложения распространяются не абы как, а через взломанные или переиспользованные аккаунты разработчиков, которые раньше публиковали легальные программы — игры, видеосервисы, стриминговые приложения. Некоторые из них до сих пор доступны в Google Play, другие были удалены после жалоб исследователей, но кампания продолжается.
Подозрительные признаки схожи у всех вредоносов: ссылки на фишинговые домены спрятаны в политике конфиденциальности, используются одинаковые схемы наименования пакетов, а разработка велась на базе одного фреймворка Median, который быстро превращает веб-сайты в APK-файлы.
Вот список обнаруженных вредоносных приложений:
Название приложения. Идентификатор пакета. Фишинговый домен.
Pancake Swap co.median.android.pkmxaj hxxps://pancakefentfloyd.cz/privatepolicy.html
Suiet Wallet co.median.android.ljqjry hxxps://suietsiz.cz/privatepolicy.html
Hyperliquid co.median.android.jroylx hxxps://hyperliqw.sbs/privatepolicy.html
Raydium co.median.android.yakmje hxxps://raydifloyd.cz/privatepolicy.html
Hyperliquid co.median.android.aaxblp hxxps://hyperliqw.sbs/privatepolicy.html
BullX Crypto co.median.android.ozjwka hxxps://bullxni.sbs/privatepolicy.html
OpenOcean Exchange co.median.android.ozjjkx hxxps://openoceansi.sbs/privatepolicy.html
Suiet Wallet co.median.android.mpeaaw hxxps://suietsiz.cz/privatepolicy.html
Meteora Exchange co.median.android.kbxqaj hxxps://meteorafloydoverdose.sbs/privatepolicy.html
Raydium co.median.android.epwzyq hxxps://raydifloyd.cz/privatepolicy.html
SushiSwap co.median.android.pkezyz hxxps://sushijames.sbs/privatepolicy.html
Raydium co.median.android.pkzylr hxxps://raydifloyd.cz/privatepolicy.html
SushiSwap co.median.android.brlljb hxxps://sushijames.sbs/privatepolicy.html
Hyperliquid co.median.android.djerqq hxxps://hyperliqw.sbs/privatepolicy.html
Suiet Wallet co.median.android.epeall hxxps://suietwz.sbs/privatepolicy.html
BullX Crypto co.median.android.braqdy hxxps://bullxni.sbs/privatepolicy.html
Harvest Finance blog co.median.android.ljmeob hxxps://harvestfin.sbs/privatepolicy.html
Pancake Swap co.median.android.djrdyk hxxps://pancakefentfloyd.cz/privatepolicy.html
Hyperliquid co.median.android.epbdbn hxxps://hyperliqw.sbs/privatepolicy.html
Suiet Wallet co.median.android.noxmdz hxxps://suietwz.sbs/privatepolicy.html
Дополнительно были выявлены два приложения, которые используют иные схемы, но с той же целью — похищение ключей доступа:
Название приложения. Идентификатор пакета. Фишинговый домен.
Raydium cryptoknowledge.rays hxxps:// www.termsfeed.com/live/a4ec5c75-145c-47b3-8b10-d43164f83bfc
PancakeSwap com.cryptoknowledge.quizzz hxxps:// www.termsfeed.com/live/a4ec5c75-145c-47b3-8b10-d43164f83bfc
Некоторые вредоносы открывают фишинговые сайты внутри встроенного WebView, другие используют скомпилированные модули для загрузки интерфейса. Все они ведут на сайты, которые визуально копируют настоящие кошельки, но являются ловушкой. Исследователи выяснили, что за этими приложениями стоит общая инфраструктура с более чем 50 фишинговыми доменами, размещёнными на одном IP-адресе.
Эта атака особенно опасна из-за тонкой маскировки под настоящие продукты и использования авторитетных учётных записей. Для пользователей криптовалют это может означать полную и безвозвратную потерю средств — в отличие от банков, здесь нет возможности отменить транзакцию или вернуть украденное.
Чтобы обезопасить себя, загружайте приложения кошельков только по ссылке с официального сайта проекта. Проверьте, нет ли в телефоне приложений из списка. А также включите защиту Google Play Protect — она может помочь блокировать подозрительные установки на ранней стадии.
В эпоху цифровых активов каждое неосторожное касание экрана может стоить вам всего кошелька.
Подробнее: https://www.securitylab.ru/new...
В.К. Делайте выводы сами.
Оценили 4 человека
6 кармы