Sekumpulan 26 aplikasi berbahaya di Apple App Store meniru dompet populer, seperti Metamask, Coinbase, Trust Wallet, dan OneKey, untuk mencuri pemulihan atau frase awal dan menguras aset mata uang kripto.
Pelaku ancaman menggunakan berbagai metode untuk meniru produk resmi, termasuk kesalahan ketik dan pencitraan merek palsu, untuk memikat pengguna di Tiongkok agar mengunduhnya.
Karena aplikasi semacam itu dibatasi di negara tersebut, penyerang mempublikasikannya sebagai aplikasi permainan atau kalkulator, kemungkinan besar dengan harapan dapat dianggap oleh pengguna sebagai trik untuk melewati larangan di negara tersebut.
Peneliti Kaspersky mengatakan bahwa ke-26 aplikasi palsu tersebut merupakan bagian dari kampanye yang sama, yang mereka beri nama FakeWallet, dan mengaitkannya dengan Operasi SparkKitty yang sudah berjalan sejak tahun lalu.
Setelah dibuka, aplikasi mengarahkan pengguna ke halaman phishing yang dirancang untuk tampil sebagai portal sah untuk layanan kripto.
Sumber: Kaspersky
Situs-situs ini meyakinkan korban untuk mengunduh aplikasi dompet trojan menggunakan profil penyediaan iOS, sebuah fitur perusahaan sah yang disalahgunakan untuk melakukan sideload malware ke perangkat mereka. Teknik yang sama juga diamati di SparkKitty.
Sumber: Kaspersky
Aplikasi yang di trojan berisi kode tambahan yang mencegat frasa mnemonik selama pengaturan dompet atau layar pemulihan, mengenkripsinya dengan RSA dan Base64, dan mengirimkannya ke penyerang.
Untuk dompet dingin seperti Ledger, penyerang mengandalkan perintah phishing dalam aplikasi yang mengelabui pengguna agar memasukkan frase awal mereka secara manual melalui layar verifikasi keamanan palsu.
Frasa ini, yang hanya dipegang oleh pemilik dompet yang sah, dimaksudkan untuk porting/pemulihan dompet ke perangkat baru dan tidak memerlukan konfirmasi atau kata sandi lebih lanjut.
Oleh karena itu, pelaku ancaman dapat menggunakannya untuk memulihkan dompet korban di perangkat mereka sendiri dan menguras dompet tanpa kemungkinan memulihkan dana.
Sumber: Kaspersky
Kaspersky mencatat bahwa kampanye ini terutama menargetkan pengguna di Tiongkok. Namun, malware itu sendiri tidak memiliki batasan geografis, sehingga dapat memengaruhi pengguna secara global jika operator memutuskan untuk memperluas cakupan penargetan mereka.
Pemegang Cryptocurrency disarankan untuk memeriksa ulang penerbit aplikasi yang mereka unduh, bahkan dari toko aplikasi resmi, dan hanya menggunakan tautan yang disediakan di situs resmi.
Pekan lalu, terungkap aplikasi Ledger palsu yang berhasil masuk ke App Store Apple mencuri $9,5 juta senilai cryptocurrency dari 50 pengguna macOS.
Apple telah menghapus seluruh 26 aplikasi FakeWallet dari App Store setelah pengungkapan bertanggung jawab Kaspersky.
BleepingComputer telah menghubungi Apple dengan pertanyaan tentang proses pelaku ancaman untuk melewati verifikasi App Store perusahaan, tetapi kami belum menerima tanggapan hingga waktu publikasi.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
