Эксперт антивирусной компании Eset Лукас Стефанко (Lukas Stefanko) обнаружил в магазине приложений Google Play вредоносное программное обеспечение, которые выдавало себя за криптовалютный кошелек.

Лукас классифицировал свою находку как вирус-клиппер (от Clipboard - буфер обмена в Windows). Пользователи Windows с такими вирусами столкнулись еще в 2017 году. Действовали они следующим образом: так как адреса криптовалютных кошельков состоят из длинных цепочек символов, пользователи, как правило, копировали и вставляли эти адреса через буфер обмена. Вирус-клиппер использовал это в своих целях. Он перехватывал содержимое буфера обмена и незаметно заменял его своим содержимым. В случае с криптовалютными транзакциями вирус-клиппер заменял скопированный пользователем адрес кошелька действительного получателя на адрес злоумышленника. В прошлом году ботнет Satori научился отправлять на компьютеры, использовавшиеся для майнинга криптовалют, специальный вирус, который мог находить файлы конфигураций и менять в них кошелек для отправки добытых монет на адрес взломщиков.

В августе впервые был обнаружен клиппер, ориентированный на операционную систему Android, который распространялся через сторонний магазин приложений.

На этот раз обнаруженный клиппер был замаскирован под популярный кошелек для эфира MetaMask. По мнению Стефанко, основной целью Android/Clipper.C является кража данных, благодаря которым впоследствии мошенники могут получить доступ к цифровым активам пострадавших в блокчейне Эфириума. Кроме того, вирус все так же подменяет его скопированные в буфер обмена адреса кошельков биткоина и эфира на адреса злоумышленников.

google_play_metamask01.jpg

«MetaMask используется для запуска в браузере децентрализованных приложений на базе блокчейна Ethereum без необходимости иметь полный узел. – пишет в своем блоге Стефанко. – На данный момент этот сервис не располагает мобильным приложением, есть только расширения для браузеров Google Chrome и Mozilla FireFox. Ранее в Google Play уже были замечены несколько вредоносных приложений, которые маскировались под официальное приложение MetaMask, но они были ориентированы только на кражу конфиденциальной информации, с помощью которой хакеры впоследствии получали доступ к криптовалютным активам пострадавшего».

Стефанко удалось обнаружить вирус сразу после его появления в официальном магазине приложений 1 февраля. На данный момент оно уже удалено. Эксперт также отметил, что подобный клиппер на Google Play был добавлен впервые.

Отметим, что криптовалютная индустрия вызывает повышенный интерес у злоумышленников, в связи с чем при скачивании различных приложений стоит использовать только официальный сайт разработчика, чтобы получить ссылку на настоящее приложение, а не опасную подделку.