Ny forskning fra Cyble Research and Intelligence Labs (CRIL) har afsløret en omfattende phishing-kampagne, der involverer mere end 20 Android-apps, der enten er eller har været tilgængelige i Google Play Store.
Disse apps, som udgav sig for at være legitime kryptovaluta-wallets, blev udviklet med ét eneste formål: at stjæle brugernes såkaldte 'mnemonic phrases' - de vigtige nøgler på 12 ord, der giver fuld adgang til en krypto-wallet.
Når disse nøgler kompromitteres, risikerer ofrene at miste hele deres beholdning af kryptovaluta - uden mulighed for at få dem tilbage. Det skriver mediet TechRadar.
Sådan fungerer de - og hvorfor de er farlige
Mange af de ondsindede apps blev opbygget ved hjælp af Median-frameworket, der gør det muligt at konvertere hjemmesider til Android-apps på ingen tid.
Ved hjælp af denne metode indsatte cyberkriminelle phishing-links direkte i appens kode eller i deres privatlivspolitik.
Disse links indlæste vildledende login-sider via en WebView og narrede brugerne til at indtaste deres mnemonic phrases i den tro, at de var pålidelige wallets som PancakeSwap, SushiSwap, Raydium og Hyperliquid.
Eksempelvis brugte en falsk PancakeSwap-app URL'en hxxps://pancakefentfloyd[.]cz/api.php, som førte til en phishing-side, der imiterede den officielle PancakeSwap-brugerflade.
På samme måde omdirigerede en falsk Raydium-app brugere til hxxps://piwalletblog[.]blog for at udføre et lignende fupnummer. Trods variationer i branding havde alle disse apps ét fælles mål: at opsnappe brugernes private adgangsnøgler.
CRIL's analyse viste, at infrastrukturen bag phishing-kampagnen var omfattende. IP-adressen 94.156.177[.]209, som blev brugt til at hoste disse ondsindede sider, var forbundet med over 50 andre domæner af samme ondsindede karakter.
Disse domæner er naturligvis til store gene for populære kryptoplatforme og genbruges på tværs af flere apps, hvilket tyder på en centraliseret og velorganiseret operation.
Nogle af de ondsindede apps blev endda udgivet under udviklerkonti, som tidligere havde været forbundet med legitime programmer som spil- eller streamingapps - hvilket kun har gjort det endnu sværere for brugerne at gennemskue svindlen.
Denne taktik gør det også svært at opdage truslen, da selv avanceret mobil sikkerhedssoftware kan have svært ved at identificere farer, der gemmer sig bag kendt branding eller udviklernavne.
Sådan beskytter du dig
For at beskytte sig mod denne type angreb anbefaler CRIL følgende:
Download kun apps fra verificerede udviklere
Undgå apps, der beder om følsomme oplysninger
Brug velrenommeret antivirus- eller sikkerhedssoftware til Android
Sørg for, at Google Play Protect er aktiveret
Brug stærke og unikke adgangskoder
Aktiver tofaktorgodkendelse og biometrisk sikkerhed, hvis muligt
Undgå at klikke på mistænkelige links modtaget via SMS eller e-mail
Indtast aldrig følsomme oplysninger i apps, medmindre du er helt sikker på, at den er ægte
I sidste ende gælder følgende tommelfingerregel: Ingen legitim app vil nogensinde bede om hele din mnemonic phrase via et loginfelt. Hvis det sker, er det højst sandsynligt allerede for sent.
Her er den komplette liste over de 22 falske apps, du bør undgå:
Pancake Swap
Suiet Wallet
Hyperliquid
Raydium
Hyperliquid
BullX Crypto
OpenOcean Exchange
Suiet Wallet
Meteora Exchange
Raydium
SushiSwap
Raydium
SushiSwap
Hyperliquid
Suiet Wallet
BullX Crypto
Harvest Finance Blog
Pancake Swap
Hyperliquid
Suiet Wallet
Raydium
PancakeSwap
