شرکت سازندهی آنتیویروس و امنیت اینترنتی ESET، طرحی از ارزهای دیجیتال مخرب و پیچیدهای را کشف کرده است که از ماه می سال گذشته، کاربران تلفن همراه اندروید و iOS را هدف خود قرار داده است.
تصور میکنیم که این طرح، کار گروهی جنایتکار است که از برنامههای مخربی استفاده میکنند که از طریق وبسایتهای جعلی توزیع میشوند. هدف این برنامهها، برای دزدیدن بیتکوین و سایر ارزهای دیجیتال از کاربران است. این برنامههای مخرب، از کیفپولهای رایجی که برای ارزهای دیجیتال استفاده میشوند، خود را تقلید میکند. برخی از این موارد شامل Trust، Coinbase، Metamask، imToken، Bitpie، TokenPocket، Wallet و OneKey است.
کسانی که پشت این طرح هستند، از تبلیغاتی که در سایتهای قانونی با مقالات گمراهکننده برای تبلیغات وبسایتهای جعلی، که این برنامههای کیف پولهای کپی شده را توزیع میکنند، استفاده میکنند. با این حال، مجرمان سایبری از طریق گروههای تلگرام و فیسبوک نیز واسطههایی را جذب خود کردهاند.
درحالی که هدف اصلی این طرح برای سرقت وجوه کاربران است، اما تحقیقات شرکت ESET نشان دادهاند که عمدتاََ کاربران چینی هدف مهاجمان قرار داده شدهاند. با محبوبیت بیشتری که ارزهای دیجیتال پیدا کرده است، محققان امنیتی این شرکت انتطار دارند تا تکنیکهای که استفاده میشوند، از آنجا به بازارهای دیگر نیز گسترش پیدا کند.
محقق ESET، لوکاش استفانکو که موفق شد این طرح را کشف کند، بینش بیشتری در مورد نحوهی عملکرد آن در بیانیهای مطبوعاتی ارائه کرد و گفت:
این برنامههای مخرب، تهدید دیگری برای قربانیان هستند. علت این امر این است که برخی از آنها عبارات مخفی قربانی را با استفاده از اتصال HTTP ناامن، به سرور مهاجمان ارسال میکنند. این بدان معنا است که وجوه قربانیان، نهتنها توسط اپراتور اصلی این طرح بلکه توسط مهاجم دیگری که در همان شبکه مشغول به استراق سمع است نیز، ممکن است به سرقت برود. همچنین، ما 13 برنامهی مخرب جعلی را که هویت کیف پول Jaxx Liberty را جعل کردهاند، کشف کردهایم. این برنامهها، قبلاََ در فروشگاه Google Play در دسترس بودهاند.
در ماه مه سال گذشته، محققان امنیتی شرکت ESET دهها برنامهی کیف پول ارزهای دیجیتال که مخرب بودند را کشف کردهاند.
چیزی که توانست این طرح را سایر کلاهبرداریهای رمزنگاری متمایز کند، این حقیقت است که نویسندهی بدافزار، تجزیه و تحلیل عمیق را از برنامههای رمزنگاری قانونی انجام داده است تا بتواند کد مخرب خود را در مکانهایی که تشخیص دادن آن دشوار است، وارد کند. در همین زمان، آنها همچنین اطمینان حاصل کردهاند که برنامههای جعلی جدید که ایجاد کردهاند عملکری مشابه نسخهی اصلی آن دارند.
شرکت امنیتی ESET، دهها گروه را پیدا کرده است که نسخههای مخرب کیفپولها ارزهای دیجیتال را در تلگرام تبلیغ میکردهاند. از اکتبر سال گذشته، همین گروههای تلگرامی حداقل در 56 گروه متفاوت در پلتفرم فیسبوک بهاشتراک گذاشته شدهاند؛ گویا این برنامههای مخرب بهدنبال شرکای بیشتری برای توزیع بودهاند. البته در ماه سپتامبر، ESET متوجه شد که این برنامههای کیف پول جعلی ارزهای دیجیتال، در دو وبسایت قانونی چینی توزیع میشوند.
این برنامههای مخرب در اندروید و iOS نیز رفتار متفاوتی را از خود نشان میدهد. بهعنوان نمونه، آنها در اندروید کاربران ارزهای دیجیتال که قبلاََ برنامههای کیفپول را روی دستگاه نصب نکردهاند را، هدف قرار میدهند. این درحالی است که در سیستم عامل iOS، قربانیان میتوانند هم برنامهی کیف پول قانونی را نصب کنند و هم برنامهی مخرب را.
از آنجایی که کد منبع این طرح به بیرون نیز درز پیدا کرده است و در چندین وبسایت چینی بهاشتراک گذاشته شده است، ممکن است مجرمان سایبری دیگری نیز برای انجام دادن این حملات جذب شوند و گسترش پیدا کند. به همین دلیل، کاربرانی که به خرید، خروش و ذخیرهی ارزهای دیجیتال رمزنگاری شده، علاقهمند هستند، باید برنامههای کیفپول رمزنگاری شدهی خود را فقط از اپ استور که برای اپل است یا گوگل پلی استور که برای کاربران اندروید استفاده میشود، دانلود کنند.