Οι ερευνητές της ESET ολοκλήρωσαν την ανάλυσή τους σχετικά με τα πλαστά πορτοφόλια κρυπτονομισμάτων, που εμφανίστηκαν στο Google Play παράλληλα με την άνοδο της αξίας του Bitcoin. Κατά τον τρέχοντα μήνα, η τιμή του bitcoin αναρριχήθηκε στο υψηλότερο σημείο από το Σεπτέμβριο του 2018. Όπως είναι φυσικό, οι κυβερνοεγκληματίες αντιλήφθηκαν γρήγορα αυτή την εξέλιξη και ξεκίνησαν να επιτίθενται στους χρήστες κρυπτονομισμάτων χρησιμοποιώντας διάφορα scam και κακόβουλες εφαρμογές. Μία από αυτές, εμφανίζεται υποτιθέμενα ως το δημοφιλές πορτοφόλι υλισμικού για κρυπτονομίσματα, Trezor. Η παράνομη αυτή εφαρμογή συνδέεται με ένα πλαστό wallet app που λέγεται «Coin Wallet – Bitcoin, Ripple, Ethereum, Tether», το οποίο έχει την ικανότητα να αποσπά χρήματα από τους ανυποψίαστους χρήστες μέσω scam.
«Δεν είχαμε εντοπίσει ποτέ malware να κάνει κατάχρηση της επωνυμίας του Trezor και αναρωτιόμασταν για τις δυνατότητες μιας τέτοιας ψεύτικης εφαρμογής. Εξάλλου, τα πορτοφόλια υλισμικού του Trezor απαιτούν διαχείριση από φυσικό χρήστη και επαλήθευση μέσω PIN ή γνώση των λεγόμενων λέξεων ανάκτησης (recovery seed) για πρόσβαση στα αποθηκευμένα κρυπτονομίσματα», σημειώνει ο ερευνητής της ESET Lukáš Štefanko, υπεύθυνος για τη διεξαγωγή της έρευνας, θέλοντας να εξηγήσει γιατί υπήρξε ενδιαφέρον συγκεκριμένα για αυτήν την πλαστή εφαρμογή».
Η ESET διαπίστωσε από την ανάλυση ότι δεν μπορεί να προκληθεί καμιά ζημιά στακρυπτονομίσματα των χρηστών της αυθεντικής εφαρμογής Trezor, καθώς η τελευταία διαθέτει πολλαπλά επίπεδα ασφαλείας. Ωστόσο, η παράνομη εφαρμογή συνδέεται με το «Coin Wallet», μία πλαστή εφαρμογή πορτοφολιού κρυπτονομισμάτων, που είναι ικανή να αποσπάσει χρήματα από τους ανυποψίαστους χρήστες μέσω scam. «Και οι δύο αυτές εφαρμογές δημιουργήθηκαν με βάση ένα πρότυπο για δημιουργία app που πωλείται online», προσθέτει ο Štefanko.
Η εφαρμογή που «μεταμφιέζεται» ως mobile πορτοφόλι για το Trezor εμφανίστηκε στο Google Play την 1η Μαΐου 2019, με όνομα developer «Trezor Inc». Με την πρώτη ματιά, η σελίδα της εφαρμογής στο Google Play εμφανιζόταν αξιόπιστη. Κατά τη διεξαγωγή της ανάλυσής της ESET, η πλαστή εφαρμογή εμφανιζόταν ως το δεύτερο πιο δημοφιλές αποτέλεσμα κατά την αναζήτηση για «Trezor» στο Google Play, ακριβώς κάτω από την επίσημη εφαρμογή. Ωστόσο, πρόκειται για μία ψεύτικη εφαρμογή που χρησιμοποιείται για το «ψάρεμα» των διαπιστευτηρίων σύνδεσης.
Ο server που χρησιμοποιείται για τη συλλογή διαπιστευτηρίων από την ψεύτικη εφαρμογή Trezor φιλοξενείται στο coinwalletinc.com. Ερευνώντας το domain, οι ερευνητές της ESET οδηγήθηκαν σε μια άλλη κακόβουλη εφαρμογή, με την επωνυμία «Coin Wallet» τόσο στο website της όσο και στο Google Play, καθώς και ίδιο κώδικα και interface. Στο website υπάρχει σύνδεσμος στο Google Play, όπου η εφαρμογή ήταν διαθέσιμη από τον Φεβρουάριο του 2019.
«Η εφαρμογή ισχυρίζεται ότι επιτρέπει στους χρήστες της να δημιουργήσουν πορτοφόλια για διάφορα κρυπτονομίσματα. Ωστόσο, ο πραγματικός σκοπός της είναι να εξαπατήσει τους χρήστες να μεταφέρουν τα κρυπτονομίσματα τους στα πορτοφόλια των απατεώνων - μια κλασική περίπτωση απάτης, που έχουμε ονομάσει «wallet address scam» στην προηγούμενη έρευνα μας σχετικά με το malware που στοχεύει κρυπτονομίσματα», λέει ο Lukáš Štefanko.
Τέλος, ο Štefanko δίνει μερικές συμβουλές στους χρήστες για το πώς μπορούν να παραμένουν ασφαλείς με τα κρυπτονομίσματα online:
- Να εμπιστεύεστε εφαρμογές κρυπτονομισμάτων και χρηματοπιστωτικών υπηρεσιών μόνο αν συνδέονται με την επίσημη ιστοσελίδα τους.
- Εισάγετε τις ευαίσθητες πληροφορίες σας σε ηλεκτρονικές φόρμες μόνο αν είστε βέβαιοι για την ασφάλεια και τη νομιμότητα τους.
- Κρατάτε ενημερωμένη τη συσκευή σας.
- Χρησιμοποιήστε μια αξιόπιστη λύση ασφάλειας για κινητά για να μπλοκάρετε και να αφαιρείτε τις απειλές.
Η ESET έχει ενημερώσει τις ομάδες ασφαλείας της Google σχετικά με την πλαστή εφαρμογή Trezor, και επικοινώνησε στην αυθεντική Trezor ότι θα δημοσιοποιήσει αυτή την έρευνα. Η Trezor επιβεβαίωσε ότι η πλαστή εφαρμογή δεν αποτελεί άμεση απειλή για τους χρήστες της. Ωστόσο, εξέφρασε την ανησυχία της για το γεγονός ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου που συλλέχθηκαν μέσω ψεύτικων εφαρμογών όπως αυτή, θα μπορούσαν αργότερα να χρησιμοποιηθούν κακόβουλα σε εκστρατείες phising. Κατά τη στιγμή σύνταξης της έκθεσης, τόσο η πλαστή εφαρμογή Trezor όσο και η εφαρμογή Coin Wallet δεν βρίσκονταν στο Google Play.