Вредоносное ПО SeedSnatcher, замаскированное под Android‑приложение под названием «Coin» (упаковано как com.pureabuladon.auxes), специально ориентировано на владельцев криптокошельков. Его основная цель — похищение мнемоники кошелька и других конфиденциальных данных пользователя, а для управления и эксфильтрации применяется постоянный канал связи с сервером управления.
Краткая картина угрозы
Вредоносное ПО активно взаимодействует с сервером управления (C2) через постоянный канал WebSocket, который обеспечивает выполнение команд в режиме реального времени и эксфильтрацию данных.
SeedSnatcher распространяется преимущественно через социальные платформы, в частности Telegram, что указывает на скоординированную рекламную и партнерскую сеть. Операторы злоумышленника, по имеющимся данным, действуют из Китая и используют встроенные механизмы отслеживания партнерских установок для контроля и мотивации филиалов.
Технические возможности
Ключевые функции и тактики SeedSnatcher включают:
- Извлечение начальных фраз криптокошелька (мнемоники) с использованием полного словаря BIP39 для проверки корректности записей и интеллектуального подбора.
- Постоянное соединение с сервером управления (C2) по WebSocket для получения команд в реальном времени и передачи украденных данных.
- Перехват SMS и журналов вызовов для обхода механизмов двухфакторной аутентификации и перехвата OTP.
- Динамическая загрузка полезной нагрузки, скрывающая вредоносный код внутри видимой легитимной структуры приложения.
- Манипуляции с наложением интерфейса (overlay), позволяющие подделывать интерфейсы легитимных криптокошельков и выманивать мнемонические фразы.
- Команды для удаленного управления устройством: инициирование вызовов, удаление приложений, скрытая отправка SMS и пр.
Разрешения и сбор данных
SeedSnatcher запрашивает и использует широкий набор разрешений, которые позволяют ему совершать комплексную кражу данных. Наиболее опасные из них:
- READ_EXTERNAL_STORAGE — доступ к файловой системе и конфиденциальным документам;
- READ_SMS — перехват сообщений, включая одноразовые пароли (OTP);
- Доступы, позволяющие отслеживать установленные приложения и статистику их использования.
Сочетание этих разрешений с функциями наложения и динамической загрузки делает возможным незаметный и исчерпывающий сбор личных данных.
Методы фишинга и закрепление
Вредоносное ПО особенно искусно имитирует легитимные приложения: оно использует наложения для подделки экранов ввода мнемоники и отслеживает поведение пользователя, чтобы выбрать оптимальный момент для атаки — например, когда пользователь открывает целевой криптокошелек. Кроме того, SeedSnatcher изменяет конфигурации системы для обеспечения постоянного фонового выполнения и реализует стратегию закрепления через динамически загружаемые модули.
Профилирование и адаптация
Сразу после установки вредоносное ПО выполняет глубокое профилирование устройства: собирает системные идентификаторы, данные об аппаратном обеспечении и статистику использования приложений. Это позволяет адаптировать фишинговые плагины под конкретного пользователя и повышает вероятность успешного получения мнемонической фразы или других учетных данных.
Инфраструктура распространения и оперативный контроль
Анализ указывает на наличие организованной рекламной команды и сетевой структуры с несколькими филиалами. Операторы используют встроенные функции отслеживания партнерских установок для оценки эффективности кампаний и распределения вознаграждений между участниками. Локализация интерфейса приложения на разные языки дополнительно расширяет географический охват и доверие потенциальных жертв.
Последствия и практические рекомендации
Последствия компрометации — потеря средств и утрата доступа к криптокошелькам, а также возможная экспозиция прочих личных данных. Рекомендации для пользователей и организаций:
- Не вводите мнемонические фразы в мобильные приложения или браузеры. Храните seed-фразы только в безопасных оффлайн‑местах (аппаратные кошельки, бумажные носители в защищенном хранилище).
- Ограничьте разрешения для приложений: внимательно проверяйте запросы на доступ к SMS и файловой системе.
- Скачивайте приложения только из проверенных источников и проверяйте пакетные имена (например, com.pureabuladon.auxes указывает на подделку).
- Используйте аппаратные кошельки и многофакторную аутентификацию, не зависящую только от SMS.
- Следите за подозрительной активностью в Telegram и других соцсетях: фейковые каналы и реклама могут вести на вредоносные установки.
SeedSnatcher демонстрирует, что атаки на владельцев криптовалют становятся все более изощренными: злоумышленники комбинируют технические приемы для сбора данных, фишинга и длительного закрепления на устройствах. Приоритетная задача — повышать осведомленность пользователей и внедрять практики минимизации рисков.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "SeedSnatcher: Android-троян похищает мнемоники BIP39 криптокошельков".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.