Výzkumný tým společnosti ESET dokončil analýzu falešných peněženek na kryptoměny, které se objevily na Google Play v době, kdy Bitcoin opět získával na hodnotě. Útočníci mají proto vyšší motivaci hledat cesty, jak zhodnocení kryptoměn zneužít prostřednictvím podvodů a falešných aplikací. Jedním ze způsobů jsou falešné kryptoměnové peněženky. Podvodná aplikace Trezor Mobile Wallet zneužívala obchodní značku známé hardwarové peněženky na kryptoměny Trezor. Prokázalo se i její napojení na další falešnou mobilní aplikaci pod názvem Coin Wallet – Bitcoin, Ripple, Ethereum, Tether, která dokázala nic netušící uživatele připravit o peníze.
„Doposud jsme neviděli malware, který by zneužíval renomé značky Trezor. Byli jsme proto zvědaví, co tahle falešná aplikace vlastně dokáže. Pravý Trezor totiž nabízí hardwarovou peněženku, která vyžaduje fyzickou manipulaci a ověření pomocí PINu nebo znalost kódu pro obnovu dat, jinak uložené kryptoměny nejsou přístupné a podobné omezení používá i jejich oficiální mobilní aplikace Trezor Manager,“ vysvětluje Lukáš Štefanko, analytik společnosti ESET, který výzkum vedl.
V průběhu analýzy ESET zjistil, že podvodná aplikace Trezor Mobile Wallet nemůže přímo ohrozit uživatele té oficiální, stejně jako jejich uložené kryptoměny. Druhá podvodná mobilní aplikace Coin Wallet, která s ní sdílí částečně nejen vzhled a zdrojový kód, ale i server, již dokáže uživatele díky technice zvané „podvod s adresou peněženky“ o jejich kryptoměny připravit. „To, že mají obě aplikace tolik společného, není náhodou. Vznikly totiž ze stejné aplikační šablony,“ dodává Štefanko.
Aplikace, která se vydává za legitimní peněženku Trezor, byla nahrána do Google Play 1. května 2019 developerem Trezor Inc. Na první pohled působila aplikace věrohodným dojmem. V průběhu výzkumu byla falešná aplikace druhá nejpopulárnější při vyhledávání slova Trezor, první byla oficiální aplikace Trezor Manager.
Falešná aplikace je navržena tak, aby z uživatelů vymámila přihlašovací údaje. Server, který takto získané údaje zpracovává, je hostovaný na doméně coinwalletinc.com. Při bližším zkoumání nás doména zavedla k další, již zmíněné podvodné aplikaci s názvem Coin Wallet. Její oficiální webová stránka odkazuje na Google Play, kde byla aplikace dostupná od února 2019.
„Aplikace tvrdí, že uživateli vytvoří peněženku na různé kryptoměny. Ale jejím hlavním záměrem je oklamat uživatele, aby převedli své kryptoměny do peněženky útočníka. Jde o klasický podvod s adresou peněženky, který jsme už popsali v případě dalšího malware zaměřeného na získávání kryptoměn,“ říká Štefanko.
Lukáš Štefanko také radí, jak zacházet s kryptoměnami v online prostředí bezpečně. „Důvěřujte jen těm finančním aplikacím (včetně těch, které souvisí s kryptoměnami), na které odkazují oficiální stránky a služby. Své citlivé a přihlašovací údaje zadávejte jen v případě, že jste si absolutně jistí bezpečností a legitimitou formuláře. Pravidelně aktualizujte své zařízení. Používejte na telefonu spolehlivé bezpečnostní řešení, které dokáže blokovat a odstranit hrozby,“ vyjmenovává Štefanko.
Falešnou aplikaci Trezor ESET nahlásil bezpečnostnímu týmu Googlu, stejně tak upozornil vývojáře legitimní aplikace Trezor. Ti potvrdili, že falešná aplikace nepředstavuje přímé ohrožení uživatelů. Přesto vyjádřili znepokojení, že by podvodně získané e-mailové adresy mohly být zneužity později v některé z phisingových kampaní. V době publikace této zprávy už ani jedna ze zmíněných podvodných aplikace nebyla na Google Play ke stažení.