专家揭发从Android和iPhone用户窃取加密货币的活动

研究人员已经揭穿了一个复杂的恶意计划，该计划主要通过Android和iOS上的模仿应用程序针对中国用户，模仿合法的数字钱包服务窃取加密货币资金。

ESET高级恶意软件研究员卢卡什·特凡科在与《黑客新闻》分享的一份报告中说：“这些恶意应用能够通过模仿Coinbase、imToken、MetaMask、Trust Wallet、Bitpie、TokenPocket或OneKey窃取受害者的秘密种子短语”。

这些钱包服务据说是通过一个由40多个假冒钱包网站组成的网络传播的，这些网站是通过在合法的中国网站上发布误导性文章，以及通过电报和Facebook群组招募中介来推广的，目的是诱骗毫无戒心的访问者下载恶意应用。

ESET自2021年5月以来一直在追踪这项活动，将其归咎于一个犯罪集团的工作。特洛伊木马加密货币钱包应用程序的设计方式是，它们复制了与原始应用程序相同的功能，同时还包含恶意代码更改，从而导致加密资产被盗。

“这些恶意应用也对受害者构成了另一种威胁，因为其中一些应用使用不安全的HTTP连接向攻击者的服务器发送秘密的受害者种子短语，”什特凡科说。“这意味着受害者的资金不仅可能被该计划的运营商窃取，还可能被窃听同一网络的其他攻击者窃取。”

这家斯洛伐克网络安全公司表示，它发现数十个团体在电报消息应用程序上推广这些钱包应用程序的恶意副本，这些应用程序又在至少56个Facebook团体上共享，希望为这一欺诈计划找到新的分销伙伴。

ESET指出：“根据从这些组织获得的信息，分发该恶意软件的人将获得钱包被盗内容的50%佣金”。

一个独特的转折点是，一旦安装了这些应用程序，根据受损移动设备的操作系统进行不同的配置。在Android上，这些应用程序针对的是尚未安装任何目标钱包应用程序的加密货币用户，而在iOS上，受害者可以同时安装两个版本。

同样值得一提的是，iOS应用商店并不能直接提供假钱包应用。相反，它们只能通过使用配置文件访问其中一个恶意网站下载，这些配置文件可以安装未经苹果验证的应用程序，也可以从应用商店之外的来源下载。

调查还发现，谷歌Play商店中有13款冒充Jaxx Liberty钱包的恶意应用，自2022年1月起，所有这些应用都已从Android应用市场上删除。它们总共安装了1100多次。

什特凡科说：“他们的目标只是梳理出用户的恢复种子短语，并将其发送到攻击者的服务器或秘密电报聊天组”。

由于该行动背后的威胁参与者通过社交媒体和消息应用程序积极招募合作伙伴，并向他们提供被盗数字货币的一定比例，ESET警告称，这些攻击可能会在未来蔓延到世界其他地区。

“此外，这一威胁的源代码似乎已被泄露，并在一些中国网站上共享，这可能会吸引各种威胁行为体，并进一步传播这一威胁，”什特凡科补充说。