Федеральне бюро розслідувань США (ФБР) попереджає про криптошахраїв, які маскуються під законних розробників незамінних токенів (NFT), щоб викрасти криптовалюту та інші цифрові активи у нічого не підозрюючих користувачів.
Але спочатку, давайте трохи дізнаємося хто такі криптошахраї та розробники NFT
Криптошахраї – це зловмисники, які використовують криптовалюту для вимагання викупу в обмін на розблокування даних або пристроїв, які вони зашифрували. Зазвичай їх ціль – організації або приватні особи, і вони можуть вибирати різні шляхи для запровадження своїх атак.
Розробники NFT (Non-Fungible Tokens або токени невзаємозамінних активів) створюють цифрові активи, які мають унікальну власність і не можуть бути замінені іншими активами. Оскільки NFT набувають популярності, шахраї можуть використовувати цю тему для своїх атак.
Зазвичай криптошахраї вимагають викуп у криптовалюті (найчастіше Bitcoin) і намагаються залишити свої дії анонімними. Федеральне бюро розслідувань (ФБР) та інші правоохоронні органи можуть вести розслідування та спільні операції з метою виявлення та затримання криптошахраїв.
У цих шахрайських схемах злочинці або отримують прямий доступ до облікових записів розробників NFT у соціальних мережах, або створюють схожі облікові записи для просування «ексклюзивних» нових випусків NFT, часто використовуючи оманливі рекламні кампанії, які створюють відчуття терміновості їх проведення.
«Посилання, надані в цих оголошеннях, є фішинговими посиланнями, які спрямовують жертв на підроблений веб-сайт, який, здається, є законним розширенням певного проекту NFT», — заявило ФБР у повідомленні минулого тижня.
Веб-сайти-копії закликають потенційних цілей підключити свої криптовалютні гаманці та придбати NFT, щоб зловмисники могли перекачувати кошти та NFT у підконтрольні їм гаманці.
«Вміст, викрадений з гаманців жертв, часто обробляється за допомогою серії міксерів і обмінників криптовалюти, щоб приховати шлях і кінцевий пункт призначення викрадених NFT», — заявили в агентстві.
Щоб зменшити ризики, пов’язані з таким шахрайством, користувачам рекомендується провести належну перевірку та перевірити облікові записи та веб-сайти в соціальних мережах, щоб перевірити їх законність.
Ця подія сталася майже через п’ять місяців після того, як ФБР попередило про сплеск фіктивних схем інвестування в криптовалюту, які називаються розбиттям свиней (або shā zhū pán), що призвело до збитків у розмірі 2 мільярдів доларів у 2022 році.
Сюди входить категорія під назвою CryptoRom , у якій злочинці використовують вигадані особи в додатках для знайомств і на платформах соціальних мереж, щоб розвивати романтичні стосунки та зміцнювати довіру з жертвами, перш ніж представити ідею торгівлі криптовалютами.
Відомо, що оператори вступають у початкову розмову в додатку, за допомогою якого вони встановлюють початковий контакт із ціллю. Незабаром після цього чат переміщується в додаток для приватних повідомлень, наприклад Telegram або WhatsApp, де вони заохочують їх використовувати шахрайські криптовалютні веб-сайти або програми та робити значні інвестиції.
«Злочинці інструктують жертв у процесі інвестування, демонструють їм фальшиві прибутки та заохочують жертв інвестувати більше», — заявили у ФБР. «Коли жертви намагаються забрати свої гроші, їм кажуть, що вони повинні сплатити комісію або податки. Жертви не можуть отримати свої гроші назад, навіть якщо вони сплатять накладені комісії або податки».
Атаки соціальної інженерії, зосереджені на романтиці, також зазнали модифікації за останні місяці, коли Sophos виявила, що суб’єкти загрози використовують генеративні інструменти на основі штучного інтелекту, щоб надати більшої довіри розмовам із жертвами в програмах для обміну повідомленнями та переконати їх завантажувати схематичні програми на Apple App Store і Google Play Store.
«Ці додатки можуть пройти попередній розгляд Apple і Google шляхом зміни віддаленого вмісту , пов’язаного з додатками, після їх схвалення та публікації в магазинах», — повідомила компанія з кібербезпеки .
«Просто змінивши вказівник у віддаленому коді, програму можна перемкнути з безпечного інтерфейсу на шахрайський без подальшої перевірки Apple або Google, якщо не буде подано скаргу».
Зловмисники використовують техніку під назвою керування версіями, щоб уникнути виявлення зловмисного програмного забезпечення Google Play Store і націлитися на користувачів Android.
«Кампанії, які використовують керування версіями, зазвичай націлені на облікові дані, дані та фінанси користувачів», — повідомляє команда Google Cybersecurity Action Team (GCAT) у звіті Threat Horizons за серпень 2023 року, який поділився з The Hacker News.
Хоча керування версіями не є новим явищем, воно є прихованим і його важко виявити. У цьому методі розробник випускає початкову версію програми в Play Store, яка проходить перевірку Google перед публікацією, але пізніше оновлюється за допомогою шкідливого програмного забезпечення.
Це досягається шляхом надсилання оновлення з контрольованого зловмисником сервера для розміщення шкідливого коду на пристрої кінцевого користувача за допомогою методу, що називається динамічним завантаженням коду (DCL), фактично перетворюючи програму на бекдор.
Раніше в травні цього року ESET виявила програму для запису екрана під назвою «iRecorder – Screen Recorder», яка залишалася нешкідливою протягом майже року після того, як її вперше завантажили в Play Store, перш ніж були внесені зловмисні зміни, щоб приховано стежити за її користувачами.
Іншим прикладом зловмисного програмного забезпечення, що використовує метод DCL, є SharkBot, який неодноразово з’являвся в Play Store під виглядом програм безпеки та службових програм.
SharkBot — це фінансовий троян, який ініціює несанкціоновані грошові перекази зі зламаних пристроїв за допомогою протоколу Automated Transfer Service (ATS).
Зловмисне програмне забезпечення Android для банківського шахрайства, відоме як SharkBot , знову підняло голову в офіційному магазині Google Play, видаючи себе за файлові менеджери, щоб обійти обмеження ринку програм.
Згідно з аналізом, опублікованим цього тижня , румунська компанія з кібербезпеки Bitdefender повідомляє , що більшість користувачів, які завантажили шахрайські програми, знаходяться у Великобританії та Італії .
SharkBot, вперше виявлений наприкінці 2021 року компанією Cleafy, є постійною мобільною загрозою , яка поширюється як у Google Play Store, так і в інших сторонніх магазинах програм.
Однією з головних цілей трояна є ініціювання грошових переказів зі зламаних пристроїв за допомогою техніки під назвою «Система автоматичного переказу» ( ATS ), у якій трансакція, ініційована через банківську програму, перехоплюється для обміну рахунком одержувача на обліковий запис, контрольований актором. фон.
Він також здатний обслуговувати підроблене накладення для входу, коли користувачі намагаються відкрити законні банківські програми, викрадаючи облікові дані в процесі.
Часто такі програми пропонують, здавалося б, нешкідливі функції, маскуючись під антивірусне програмне забезпечення та очищувачі, щоб проникнути в магазин Google Play. Але вони також виконують функцію дропперів, які після встановлення на пристрій можуть отримувати шкідливе програмне забезпечення.
Програми дроппера, які зараз видалено, наведено нижче –
X-File Manager (com.victorsoftice.llc) – понад 10 000 завантажень
FileVoyager (com.potsepko9.FileManagerApp) – понад 5000 завантажень
LiteCleaner M (com.ltdevelopergroups.litecleaner.m) – понад 1000 завантажень
LiteCleaner M все ще доступний для завантаження зі стороннього магазину програм під назвою Apksos, де також міститься четвертий артефакт SharkBot під назвою «Phone AID, Cleaner, Booster» (com.sidalistudio.developer.app).
Додаток X-File Manager, який був доступний лише для користувачів в Італії, отримав понад 10 000 завантажень, перш ніж його було видалено. Зважаючи на те, що Google неухильно припиняє зловживання дозволами, вибір загрози використовувати файловий менеджер як приманку не є дивним.
Програми Dropper, які з’являються на вітрині магазину, мають обмежену функціональність, яка після встановлення жертвами завантажує повну версію зловмисного програмного забезпечення, щоб привернути менше уваги.
Це тому, що Програмна політика Google для розробників обмежує дозвіл на встановлення зовнішніх пакетів (REQUEST_INSTALL_PACKAGES) кількома категоріями програм: веб-браузерами, програмами миттєвого обміну повідомленнями, які підтримують вкладення, менеджерами файлів, керування корпоративними пристроями, резервним копіюванням і відновленням, а також перенесенням пристроїв.
Незмінно цим дозволом зловживають для завантаження та встановлення зловмисного програмного забезпечення з віддаленого сервера. Деякі з цільових банківських програм включають Bank of Ireland, Bank of Scotland, Barclays, BNL, HSBC UK, Lloyds Bank, Metro Bank і Santander.
«Програма [тобто дроппер] виконує перевірку антиемулятора та націлена на користувачів із Великобританії та Італії, перевіряючи, чи відповідає ISO ISO SIM-карти IT або GB», — повідомили дослідники Bitdefender.
Користувачам, які встановили вищезазначені програми, рекомендується негайно видалити їх і змінити паролі банківських рахунків. Користувачам також рекомендується ввімкнути Play Store Protect і уважно вивчати рейтинги та огляди додатків перед їх завантаженням.
«У корпоративному середовищі керування версіями демонструє потребу в принципах поглибленого захисту, включаючи, але не обмежуючись обмеженням джерел встановлення додатків надійними джерелами, такими як Google Play, або керування корпоративними пристроями через платформу керування мобільними пристроями (MDM),» компанія сказала.
Ці висновки з’явилися після того, як ThreatFabric виявив, що розповсюджувачі зловмисного програмного забезпечення використовували помилку в Android, щоб видати шкідливі програми за доброякісні, «пошкоджуючи компоненти програми», щоб програма в цілому залишалася чинною, повідомляє KrebsOnSecurity .
«Актори можуть опублікувати кілька додатків у магазині одночасно під різними обліковими записами розробників, однак лише один діє як зловмисний, тоді як інший є резервною копією, яка буде використана після видалення», — зазначила голландська компанія з кібербезпеки в червні .
«Така тактика допомагає акторам підтримувати дуже довгі кампанії, мінімізуючи час, необхідний для публікації чергового дроппера та продовження кампанії розповсюдження».
Щоб зменшити будь-які потенційні ризики, користувачам Android рекомендується використовувати надійні джерела для завантаження програм і ввімкнути Google Play Protect, щоб отримувати сповіщення про виявлення на пристрої потенційно шкідливої програми (PHA).
