Zavírené mobilné aplikácie ani krádeže a podvody v súvislosti s kryptomenami nie sú ničím novým. Slovenskej antivírusovej firme ESET sa teraz podarilo odkryť konkrétnu schému, ktorej rozmery doslova výražajú dych.

Zainteresovaných malo byť minimálne 40 falošných stránok a všetko podporovala aj reklama na chatovacej sieti Telegram či sociálnej sieti Facebook.

Oba operačné systémy, skoro všetky známe peňaženky

Základom podvodu sú falošné aplikácie, ktoré napodobňujú skutočné kryptopeňaženky ako Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken a OneKey, informuje ESET v tlačovej správe.

Aby si ich nič netušiaci používatelia stiahli, útočníci k nim vytvorili aj sériu vierohodne vyzerajúcich webov. Odkazy na ne posielajú v rôznych telegramových a facebookových skupinách. Tieto falošné stránky sú tiež propagované reklamami so zavádzajúcimi článkami umiestnenými na legitímnych stránkach.

Zaujímavosťou je, že podľa antivírusovej firmy tentokrát neboli terčom útoku len používatelia s Androidom, kde môže aplikáciu do oficiálneho obchodu Google Play umiestniť prakticky kto koľvek. Vykrádanie cielilo aj na iOS, hoci Apple obvykle aplikácie prísne kontroluje a posudzuje. Do iPhonov navyše nie je možné inštalovať nič stiahnuté mimo App Store.

Najprv v Číne, potom u nás

Podľa výskumníkov spoločnosti ESET sa útočníci zatiaľ zameriavajú najmä na čínskych používateľov. Prvé falošné aplikácie tváriace sa ako legitímne krypto peňaženky objavili už v máji 2021. Tie pritom ponúkali takmer rovnakú funkcionalitu ako originály – vzhľadom na náročnosť vytvorenia podobného softvéru sa firma nazdáva, že tentokrát za útokom nie sú jednotliví anonymní hackeri, ale sofistikovaná zločinecká skupina.

„Tieto škodlivé aplikácie predstavujú pre obete aj ďalšiu hrozbu. Niektoré totiž odosielajú na servery útočníkov tajné prístupové výrazy ku krypto peňaženkám prostredníctvom nezabezpečeného HTTP pripojenia. To znamená, že prostriedky obetí môžu okrem autorov podvodnej schémy ukradnúť aj ďalší útočníci zneužívajúci tú istú sieť,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti ESET, ktorý odhalil podvodnú schému. „Takisto sme objavili 13 škodlivých aplikácií, ktoré sa vydávajú za krypto peňaženku Jaxx Liberty. Tieto aplikácie boli dostupné v obchode Google Play,“ dodáva.

Na Telegrame sú desiatky skupín, kde sa tieto škodlivé kópie šíria. Výnimkou nie sú ani kanály, ktoré sa tvária ako oficiálna podpora danej kryptofirmy. Po položení otázky alebo snahe o vyriešenie problému sa však na používateľa „vrhnú“ desiatky podvodníkov, ktorí sa vydávajú za zamestnancov firmy, no v skutočnosti iba skúšajú získať heslá a okradnúť menej obozretných kryptonadšencov. Útočníci tu však hľadajú aj ďalších šíriteľov.

Táto aktivita prebieha už od mája 2021. Od októbra 2021 zaznamenal ESET šírenie a propagovanie skupín z Telegramu najmenej v 56 skupinách na Facebooku s tým istým cieľom vyhľadávania nových distribútorov škodlivého obsahu. V novembri 2021 bezpečnostní experti zaznamenali šírenie škodlivých aplikácií prostredníctvom dvoch legitímnych čínskych webových stránok.

ESET – Časová os podvodnej schémy

ESET odhalil aj desiatky ďalších falošných webov s krypto peňaženkami, ktoré cielia výhradne na používateľov mobilných zariadení. Návšteva jednej z týchto stránok môže naviesť obete k stiahnutiu falošných krypto peňaženiek na platformy Android alebo iOS.

V platformách Android a iOS je veľký rozdiel

Škodlivé aplikácie sa správajú rozdielne v závislosti od daného operačného systému. V prípade platformy Android podľa všetkého cielia na nových používateľov kryptomien, ktorí ešte nemajú na svojom zariadení nainštalovanú legitímnu krypto peňaženku. V prípade Google Play odstránila v januári 2022  spoločnosť Google 13 škodlivých aplikácií z oficiálneho obchodu na základe žiadosti spoločnosti ESET.

Čo sa týka systému iOS, útočníci cielia aj na obete, ktoré už majú nainštalovanú legitímnu aplikáciu z App Store. V prípade Apple sa totiž podvodné appky do obchodu nedostanú vďaka pokročilej kontrole od Apple. Obeť si ich musí stiahnuť a nainštalovať prostredníctvom konfiguračných profilov, ktoré poskytujú dôveryhodný podpisový certifikát – niečo podobné, ako keď si sťahuješ betaverziu niektorej zo známych aplikácií. Ty by však už skúsenejšiemu používateľovi mali „blikať všetky varovné kontrolky“.

Útokov ešte pribudne

Útočníci však ešte pravdepodobne nepovedali posledné slovo. Vyzerá to tak, že zdrojový kód tejto hrozby unikol a bol zverejnený na niekoľkých čínskych stránkach. Takýmto spôsobom sa môže na hrozbe priživiť ešte viac kybernetických zločincov.

„V čase publikovania hodnota bitcoinu klesla takmer na polovicu svojho historického maxima, na ktorom bola pred 4 mesiacmi. U investorov do kryptomien to môže vyvolať paniku a môžu vo veľkom predávať. Pre iných to však môže predstavovať príležitosť nakupovať kryptomeny za nižšie ceny. Ak patríte do jednej z týchto skupín, buďte mimoriadne opatrní  pri výbere mobilnej aplikácie, pomocou ktorej si budete spravovať vaše prostriedky,“ radí Štefanko.