Разработчик антивирусных программ «Доктор Веб» предупреждает о всплеске распространения троянских программ, рассчитанных на кражу криптовалюты у владельцев мобильных устройств. Вредоносные приложения похищают секретные seed-фразы, служащие для доступа к криптокошелькам. В зоне риска находятся пользователи как Android-устройств, так и смартфонов Apple.

В зависимости от типа устройства, с которого посещаются поддельные сайты, пользователю предлагается загрузить и установить версию кошелька для соответствующей платформы — Android или iOS. Загрузка Android-версий троянов обычно происходит непосредственно с посещённого вредоносного ресурса. А вот владельцы iOS-устройств чаще перенаправляются на другой сайт, оформленный в стиле официального каталога приложений Apple.

Невзирая на то, что в обеих операционных системах установка ПО из сторонних источников по умолчанию отключена или не предусмотрена, она по-прежнему возможна. На Android для этого достаточно активировать необходимую опцию в системных настройках. А в случае устройств компании Apple мошенники применяют механизм установки через специальные профили конфигурации (configuration profiles) и профили обеспечения (provisioning profiles). Такие профили отдельные компании используют для распространения ПО среди своих сотрудников в обход App Store. При этом для установки не требуется, чтобы iOS-устройства были разблокированы и имели jailbreak.

Поскольку трояны являются копиями настоящих приложений с минимальными модификациями, они работают так же, как и оригиналы, и по внешним признакам отличить их друг от друга практически невозможно.

После установки трояна вредоносная активность ведётся незаметно, в фоновом режиме. Троян крадёт секретную мнемоническую seed-фразу и затем передаёт её в распоряжение киберпреступникам, после чего те получают доступ к кошельку.

Специалисты фиксируют случаи внедрения вредоносного кода в копии таких приложени,й как imToken, MetaMask, Bitpie и TokenPocket, однако этот список может оказаться шире. Известные модификации выявленных угроз детектируются Dr.Web как трояны из семейств Android.CoinSteal и IPhoneOS.CoinSteal. Среди них — Android.CoinSteal.7, Android.CoinSteal.8, Android.CoinSteal.10, IPhoneOS.CoinSteal.1, IPhoneOS.CoinSteal.2, IPhoneOS.CoinSteal.3 и другие.

Источник: 4pda.to