Компания ESET, работающая в сфере кибербезопасности, сообщила, что вредоносное ПО интегрировано в поддельные приложения для торговли криптовалютами. После установки таких расширений оно начинает похищать цифровые активы из пользовательских кошельков. Злоумышленники выдают себя за торговую платформу Kattana. Они скопировали сайт сервиса и продвигают свое ПО под видом четырех приложений: Cointrazer, Cupatrade, Licatrade и Trezarus. Впервые троян был обнаружен антивирусной компанией Trend Micro в сентябре 2019 года. В то время GMERA распространялся в форме приложения Stockfolio для инвестиций в фондовый рынок.
Специалисты ESET сообщили, что при загрузке приложений с поддельного сайта пользователь скачивает папку в формате ZIP с зараженной версией приложения. Причем эти приложения полностью поддерживают торговые функции. Эксперты добавили, что у человека, не пользующегося оригинальными сервисами Kattana, поддельные сайты могут не вызвать подозрений. Хакеры используют социальную инженерию, напрямую контактируя с потенциальными жертвами. Компания ESET проанализировала вредоносное ПО на примере приложения Licatrade, с которым GMERA имеет лишь незначительные отличия.
Троян устанавливает на компьютер жертвы сценарий оболочки, который предоставляет хакерам доступ к системе пользователя через скачанное приложение. Этот сценарий позволяет злоумышленникам создавать командные серверы через HTTP, что дает возможность обмениваться данными с устройством жертвы. GMERA крадет персональные данные пользователя, информацию об его криптовалютных кошельках, местонахождении, а также снимки экрана. Специалисты ESET сообщили об этой проблеме Apple, после чего корпорация в тот же день отозвала свидетельство, выданное Licatrade.
Напомним, что в апреле Google удалил 49 расширений браузера Chrome, которые распространялись как утилиты для работы с криптовалютными кошельками, но содержали вредоносный код. Позднее Google удалил еще 22 расширения, которые воровали криптовалюты.