اكتشفت أبحاث شركة “إسيت” مخططًا معقدًا للعملات المشفرة الخبيثة يستهدف الأجهزة المحمولة التي تستخدم أنظمة تشغيل أندرويد أو iOS (أجهزة اَيفون). يتم توزيع التطبيقات الضارة من خلال مواقع الويب المزيفة، مما يحاكي خدمات المحفظة المشروعة مثل Metamask و Coinbase و Trust Wallet و TokenPocket و Bitpie و imToken و OneKey. يتم الترويج لهذه المواقع المزيفة بإعلانات موضوعة على مواقع شرعية باستخدام مقالات مضللة. بجانب قيام الجهات الفاعلة بتجنيد وسطاء من خلال مجموعات تليجرام و فيسبوك لتوزيع هذا المخطط الخبيث بشكل أكبر. الهدف الرئيسي من التطبيقات الضارة هو سرقة أموال المستخدمين، لاحظت أبحاث “إسيت” أن هذا المخطط يستهدف بشكل أساسي المستخدمين الصينيين. نظرًا لاكتساب العملات المشفرة شعبية هناك، وتتوقع “إسيت” أن تنتشر هذه التقنيات في الأسواق الأخرى.
ابتداءً من مايو 2021، كشف بحثنا عن العشرات من تطبيقات محفظة العملات المشفرة في هجمات طروادة. يعد هذا اتجاه متطورًا للهجوم نظرًا لأن مؤلف البرنامج الضار قد أجرى تحليلًا متعمقًا للتطبيقات المشروعة التي يساء استخدامها في هذا المخطط، مما يتيح إمكانية إدخال التعليمات البرمجية الضارة الخاصة بهم في الأماكن التي يصعب اكتشافها مع التأكد أيضًا من أن مثل هذه البرامج قد صنعت بنفس وظائف النسخ الأصلية. وتعتقد أبحاث “إسيت” أن من المحتمل أن يكون هذا عمل مجموعة إجرامية واحدة.
وصرح “لوكاس استيفانكو”، الباحث في شركة “إسيت” الذي اكتشف المخطط الضار، وقال: “تمثل هذه التطبيقات الضارة أيضًا تهديدًا آخر للضحايا، حيث يرسل بعضها عبارات أولية سرية للضحية إلى خادم المهاجمين باستخدام اتصال HTTP غير آمن. هذا يعني أنه يمكن سرقة أموال الضحايا ليس فقط من قبل مشغل هذا المخطط الضار، ولكن أيضًا من قِبل مهاجم آخر يتنصت على نفس الشبكة. اكتشفنا أيضًا 13 تطبيقًا ضارًا ينتحل شخصية محفظة Jaxx Liberty. كانت هذه التطبيقات متاحة على متجر جوجل بلاي “.
تليجرام، هو تطبيق مراسلة مجاني وشائع متعدد الأنظمة الأساسية مع ميزات محسّنة للخصوصية والتشفير، وجدت “إسيت” عشرات المجموعات التي تروّج لنسخ ضارة من محافظ ناقلة للعملات المشفرة. نفترض أن هذه المجموعات قد تم إنشاؤها بواسطة ممثل تهديد وراء هذا المخطط الذي يبحث عن شركاء توزيع آخرين وهذا النشاط مستمر منذ مايو 2021. بدءًا من أكتوبر 2021، وجدنا أن مجموعات تليجرام هذه تمت مشاركتها والترويج لها في ما لا يقل عن 56 مجموعة على فيسبوك باستخدام نفس الهدف – للبحث عن المزيد من شركاء التوزيع. في نوفمبر 2021، رصدنا توزيع محافظ خبيثة باستخدام موقعين صينيين شرعيين.
إلى جانب ناقلات التوزيع هذه ، اكتشفنا العشرات من مواقع المحفظة المزيفة الأخرى التي تستهدف مستخدمي الهواتف المحمولة حصريًا. قد تؤدي زيارة أحد مواقع الويب إلى قيام ضحية محتملة بتنزيل تطبيق محفظة هجمات طروادة لنظام أندرويد أو نظام iOS.
يتصرف التطبيق الضار بشكل مختلف اعتمادًا على نظام التشغيل الذي تم تثبيته عليه. على نظام أندرويد، يبدو أنه يستهدف مستخدمي العملات المشفرة الجدد الذين ليس لديهم بعد تطبيق محفظة شرعي مثبت على أجهزتهم. على نظام iOS ، يمكن أن يكون لدى الضحية كلا الإصدارين مثبتين –
الإصدار الشرعي من متجر التطبيقات والآخر الضار من موقع الويب.
فيما يتعلق بنظام iOS، لا تتوفر هذه التطبيقات الضارة في متجر التطبيقات؛ يجب تنزيلها وتثبيتها باستخدام ملفات تعريف التكوين، والتي تضيف شهادة توقيع رمز موثوق تعسفيًا. فيما يتعلق بـجوجل بلاي، وبناءً على طلبنا كشريك في Google App Defense Alliance، في يناير 2022، قامت جوجل بإزالة 13 تطبيقًا ضارًا تم العثور عليها في المتجر الرسمي.
بالإضافة أنه يبدو أن الكود المصدري لهذا التهديد قد تم تسريبه ومشاركته على عدد قليل من المواقع الصينية، مما قد يجذب العديد من الجهات الفاعلة في التهديد وينتشر هذا التهديد إلى أبعد من ذلك.
ووجه “استيفانكو” نصيحة، قائلاً: “في وقت النشر، انخفض سعر البيتكوين بمقدار النصف تقريبًا عن أعلى مستوى له على الإطلاق منذ حوالي أربعة أشهر. وبالنسبة لمستثمري العملات المشفرة، قد يكون هذا هو الوقت المناسب إما للذعر وسحب أموالهم، أو للقادمين الجدد للقفز في هذه الفرصة وشراء العملات المشفرة بسعر أقل. إذا كنت تنتمي إلى إحدى هذه المجموعات، فعليك أن تختار بعناية تطبيق الهاتف المحمول الذي تريد استخدامه لإدارة أموالك”.