针对imToken的恶意软件

从 2021 年 5 月开始,我们的研究发现了数十个木马化的加密货币钱包应用程序。我们发现通过模仿合法服务的网站分发的带有木马的 Android 和 iOS 应用程序。这些恶意应用程序能够通过冒充 Coinbase、imToken、MetaMask、Trust Wallet、Bitpie、TokenPocket 或 OneKey 来窃取受害者的秘密种子短语。

这是一个复杂的攻击向量,因为恶意软件的作者对该方案中滥用的合法应用程序进行了深入分析,从而能够将自己的恶意代码插入到难以检测的地方,同时确保此类精心制作的应用程序具有与原始应用程序相同的功能。在这一点上,我们认为这是一个单独的攻击者或更可能是一个犯罪集团的工作。

这些恶意应用程序的主要目标是窃取用户的资金,到目前为止,我们已经看到该计划主要针对中国用户。随着加密货币越来越受欢迎,我们预计这些技术将传播到其他市场。2021 年 11 月,公开共享前端和后端分发网站的源代码,包括重新编译的 APK 和 IPA 文件,进一步支持了这一点。我们在至少五个网站上发现了此代码,并免费共享,因此预计会看到更多的模仿攻击者。从我们发现的帖子中,很难确定是故意分享还是泄露。

这些恶意应用程序还对受害者构成了另一种威胁,因为其中一些应用程序使用不安全的 HTTP 连接向攻击者的服务器发送秘密的受害者种子短语。这意味着受害者的资金不仅可能被该计划的运营商窃取,还可能被同一网络上的不同攻击者窃听。除了这个加密货币钱包方案,我们还发现了 13 个冒充 Jaxx Liberty 钱包的恶意应用程序。这些应用程序在应用程序上市之前可在 Google Play 商店中获得,该商店受到应用程序防御联盟的主动保护,ESET 是该联盟的扫描合作伙伴之一。