Эксперты ESET обнаружили новую мошенническую кампанию в Google Play. Ее жертвами стали пользователи криптовалютной биржи Poloniex, на которой можно торговать более чем 100 криптовалютами.
Злоумышленники воспользовались отсутствием официального мобильного приложения Poloniex — они распространяли вредоносные приложения под видом легитимных. Первое вредоносное приложение проникло в Google Play под названием Poloniex от одноименного разработчика. С 28 августа по 19 сентября его установили до 5000 пользователей, несмотря на противоречивые оценки и негативные отзывы. Второе — Poloniex Exchange от Poloniex Company — появилось в Google Play 15 октября и было установлено 500 раз. После предупреждения ESET подделки удалили из магазина.
Вредоносные приложения предназначены для кражи аккаунтов Poloniex. Чтобы получить доступ к учетной записи, мошенникам нужны логины и пароли от биржи и электронной почты, привязанной к «биржевому» аккаунту. Кроме того, поддельное приложение не должно вызывать подозрений пользователя. В обеих подделках реализованы одни и те же методы для решения этих задач.
Сразу после запуска вредоносного приложения на экране появляется фальшивая форма ввода логина и пароля Poloniex. Введенные данные отправляются злоумышленникам. Если жертва не использует в Poloniex двухфакторную аутентификацию, атакующие получат доступ к аккаунту. Они смогут самостоятельно выполнять транзакции и менять настройки, включая пароль.
Перехватив логин и пароль от Poloniex, злоумышленники пытаются получить доступ к Gmail. Для этого на экран устройства выводится окно, предлагающее войти в Gmail для «проверки безопасности». Получив доступ к аккаунту Poloniex и связанному аккаунту электронной почты, атакующие смогут проводить операции со счетом и удалять любые уведомления из входящих сообщений.
Наконец, чтобы обеспечить видимость нормальной работы, приложение переадресовывает пользователя на мобильную версию легитимного сайта Poloniex при каждом запуске.
ESET рекомендует проверять подлинность мобильных приложений, а также использовать двухфакторную аутентификацию и надежное антивирусное решение для мобильных устройств.