Распространяется троян в составе пиратских образов дисков под видом так называемого активатора. Пользователю во время активации предлагают скопировать данные приложения в папку Applications, а после нажатия кнопки PATCH ввести системный пароль.
В липовый активатор входит установочный пакет Python 3.9.6, после развертывания которого вирус загружает на компьютер зашифрованный скрипт, передающий управление хакеру.
Мошенник меняет иконку легитимного криптовалютного кошелька на иконку фальшивого. Когда пользователь запускает ложное приложение и вводит данные от кошелька, с него похищают криптовалюту.
В «Лаборатории Касперского» советуют загружать приложения только из официальных магазинов, использовать надежные пароли и периодически менять их на новые.
Ранее в «Лаборатории Касперского заявили, что в России растет число хищений активов у криптоинвесторов.