13 apps verwijderd na blootleggen Trojaanse crypto wallets

Cyber beveiligingsbedrijf ESET legt na onderzoek een geraffineerde regeling bloot. Deze verspreidt Trojaanse apps welke vermomd zijn als populaire cryptocurrency wallets.

Apps voor iOS en Android

De regeling is sinds mei 2021 in werking. Het richt zicht op Chinese gebruikers die gebruik maken van social media groepen en nep websites.

De kwaadaardige regeling richt zich op mobiele apparaten met een Android of iOS besturingssysteem. Die komt in gevaar zodra de gebruiker de nep app downloadt.

Trojaanse wallets

Volgens het onderzoek van ESET worden de apps verspreid via nep websites. Ze doen zich voor als legitieme crypto wallets. Zoals MetaMask, Coinbase, Trust Wallet en TokenPocket. 

Het cyber beveiligingsbedrijf ontdekt ook 13 schadelijke apps die zich voordoen als de Jaxx Liberty wallet. Deze is beschikbaar in de Google Play Store. 

Ruim 1100 downloads

De apps worden ruim 1100 keer gedownload. Google heeft de schadelijke apps inmiddels verwijderd. Toch liggen er nog veel meer op de loer via andere websites en social media.

De oplichters verspreiden hun applicaties via groepen op Facebook en Telegram. Het is de bedoeling om de crypto activa van hun slachtoffers te stelen. ESET ontdekt tientallen Trojaanse crypto wallet apps. 

Deze gaan terug tot mei 2021. het bedrijf verklaart dat de regeling het werk is van één groep oplichters. Ze hebben het vooral gemunt op Chinese gebruikers via Chinese websites.

Ook andere bedreigingen

Lukáš Štefanko is de onderzoeker die de regeling ontrafelt. Hij zegt dat er ook andere bedreigingen zijn. Zoals het verzenden van seed phrases naar de server van de aanvaller.

Dat gebeurt via onbeveiligde verbindingen. Lukáš Štefanko voegt daaraan toe:

"Dit betekent dat het geld van de slachtoffers gestolen kan worden door 2 individuen. Dat kan door de exploitant van de regeling en door een andere aanvaller die het netwerk afluistert."

Verschillend gedrag

De nep wallet applicaties gedragen zich iets anders. Dat is afhankelijk van waar ze zijn geïnstalleerd. Op Android richt het zich op nieuwe cryptocurrencies. Deze heeft de gebruiker nog niet eerder verhandeld. 

De gebruiker wordt gevraagd om de juiste wallet te installeren. Op iOS moeten de apps worden gedownload met code signing certificaten. Deze omzeilen de App Store van Apple. 

De gebruiker installeert dus 2 applicaties. Dit zijn de echte en de Trojan wallet. Deze app vormt een minder grote bedreiging. Dat komt omdat de gebruikers vertrouwen op de App Store verificatie.

VMTD systeem van Google

ESET adviseert crypto beleggers en handelaren om alleen wallets van betrouwbare bronnen te installeren. Deze moeten gekoppeld zijn aan de officiële website van het bedrijf.

In februari onthult Google Cloud het Virtual Machine Threat Detection systeem. Dit systeem scant en detecteert crypto jacking malware. Het systeem is ontwikkelt om bronnen te kapen en crypto te delven. 

Chain Analysis maakt in januari een rapport bekend. Daarin staat dat crypto jacking goed is voor 73% van de totale waarde die malware wallets tussen 2017 en 2021 ontvangen.