В Google Play обнаружена вредоносная копия MetaMask

Эксперт антивирусной компании Eset Лукас Стефанко (Lukas Stefanko) обнаружил в магазине приложений Google Play вредоносное программное обеспечение, которые выдавало себя за криптовалютный кошелек.

Лукас классифицировал свою находку как вирус-клиппер (от Clipboard — буфер обмена в Windows). Пользователи Windows с такими вирусами столкнулись еще в 2017 году. Действовали они следующим образом: так как адреса криптовалютных кошельков состоят из длинных цепочек символов, пользователи, как правило, копировали и вставляли эти адреса через буфер обмена. Вирус-клиппер использовал это в своих целях. Он перехватывал содержимое буфера обмена и незаметно заменял его своим содержимым. В случае с криптовалютными транзакциями вирус-клиппер заменял скопированный пользователем адрес кошелька действительного получателя на адрес злоумышленника. В прошлом году ботнет Satori научился отправлять на компьютеры, использовавшиеся для майнинга криптовалют, специальный вирус, который мог находить файлы конфигураций и менять в них кошелек для отправки добытых монет на адрес взломщиков.

В августе впервые был обнаружен клиппер, ориентированный на операционную систему Android, который распространялся через сторонний магазин приложений.

На этот раз обнаруженный клиппер был замаскирован под популярный кошелек для эфира MetaMask. По мнению Стефанко, основной целью Android/Clipper.C является кража данных, благодаря которым впоследствии мошенники могут получить доступ к цифровым активам пострадавших в блокчейне Эфириума. Кроме того, вирус все так же подменяет его скопированные в буфер обмена адреса кошельков биткоина и эфира на адреса злоумышленников.