Хакеры теперь могут украсть криптовалюту, перенаправляя платеж с помощью сравнительно нового вредоносного ПО, которое заменяет адрес получателя между копированием и вставкой.
Замена между CTRL+C и CTRL+V
Согласно отчету за февраль этого года, исследователь безопасности Лукас Стефанко обнаружил, что хакеры добавили так называемое Clipper Malware в Google Play через зараженные криптовалютные приложения. Исследователь описывает ситуацию в своем блоге под названием «Первое вредоносное ПО, обнаруженное в Google Play», в котором он объясняет, как вредоносное ПО может украсть криптовалюту пользователей.
Вредоносная программа имеет очень простую и очень опасную цель, которая заключается в использовании возможности копирования и вставки публичных адресов кошельков криптовалюты. Когда пользователь копирует адрес, вредоносная программа заменяет его на адрес хакера.
Когда пользователь использует функцию вставки для ввода адреса, он не совпадает с тем, который был изначально скопирован в буфер обмена. Тем не менее, это обычно не то, что большинство людей заметили бы, так как адреса крипто-кошелька имеют тенденцию быть очень длинными и представляют случайный набор символов.
Эта проблема также появилась на форуме BitcoinTalk, где пользователь предупреждал других о копировании и вставке адресов с помощью команд CTRL+C и CTRL+V. Пользователь заявил, что проверки начальных нескольких символов недостаточно для подтверждения того, что вставленный адрес совпадает со скопированным. Достаточно часто первые несколько символов могут быть подлинными, и пользователь может не заметить, что остальные таковыми не являются.
Сам Стефанко назвал вредоносную программу очень опасной, заявляя:
Эта опасная форма вредоносного ПО впервые появилась в 2017 году на платформе Windows и была обнаружена в неофициальных магазинах приложений для Android летом 2018 года.
И теперь, в феврале 2019 года мы обнаружили вредоносный клипер в Google Play, официальном магазине приложений для Android.
Хакеры любят крипто
Что касается вредоносных программ для кражи крипто - это не ново. Тем не менее, возможности такого ПО делают его довольно опасным, и тот факт, что эти вирусы можно найти даже на некоторых известных хостингах программного обеспечения, только подтверждает, что исследователи правы.
Вредоносное ПО, обнаруженное в Google Play Store, выдавало себя за MetaMask, и оно крадет токены Ethereum, если жертва загрузит приложение. Монеты Ethereum часто становятся целью хакеров, будь то кражи из личных кошельков пользователей или с криптобирж, таких как Upbit.
Читайте по теме: Upbit подтвердила кражу ETH на сумму $49 млн.
Конечно, биткоин по-прежнему является одной из самых заветных целей, если не самой целевой криптовалютой для атак. Даже самые крупные криптобиржи, такие как Binance, часто не в состоянии отразить хакерскую атаку, которая показывает, насколько новаторскими стали злоумышленники.
Читайте от 8 мая 2019: Взлом Binance - хакеры вывели 7'000 BTC
Как убедиться, что вы в безопасности
Что касается того, как бороться с вредоносным программным обеспечением, исследователи безопасности предложили уделять дополнительное внимание адрес, который пользователи вводят в форму оплаты. Могут возникнуть всевозможные ошибки, поскольку крипто-адреса не предназначены для того, чтобы люди могли их прочитать и запомнить, поэтому проверка каждого символа чрезвычайно важна.
Любая разница между адресом, на который пользователи собирается отправить крипто, и адресом появившимся в форме, приведет к потере средств, как только пользователь нажмет кнопку отправки. Кроме того, некоторые полагают, что переход на ОС Linux может быть лучшим вариантом, особенно Mint, для тех, кто не знаком с ОС Linux.
Одной из причин этого является тот факт, что ОС Microsoft поддерживает Cortana, который является несменным клавиатурным регистратором, хранящим информацию о пользователях в облаке Microsoft. Кроме того, пользователи должны стараться регулярно обновлять свое программное обеспечение и загружать только приложения, опубликованные доверенными источниками.