Эксперты ESET выявили в Google Play мошенническую кампанию, направленную против пользователей биржи криптовалюты Poloniex.
Внимание киберпреступников к этой площадке обусловлено популярностью Poloniex: на бирже можно торговать более чем 100 видами криптовалюты. Мошенники воспользовались тем, что у Poloniex нет официального мобильного приложения, и начали распространение вредоносных программ, замаскированных под легитимные.
Вредоносное приложение POLONIEX, созданное одноименным разработчиком, было добавлено в Google Play еще летом. В период с 28 августа по 19 сентября оно было скачано по крайней мере 5000 раз и имело неоднозначные оценки и негативные отзывы. 15 октября в Google Play было размещено еще одно приложение – POLONIEX EXCHANGE (разработчик – POLONIEX COMPANY). Оно было скачано около 500 раз.
Чтобы получить доступ к аккаунту пользователя, хакеры должны знать логин и пароль от учетной записи на бирже, а также данные для входа в почтовый ящик. Именно для этого были созданы упомянутые приложения.
Сразу после запуска приложения на экране отображалась поддельная форма ввода учетных данных Poloniex. В действительности введенная информация передавалась мошенникам. Если пользователь не установил двухфакторную аутентификацию, то злоумышленники почти сразу получали доступ к учетной записи, что позволяло им совершать различные операции с криптовалютой, а также менять пароль и настройки аккаунта.
Кроме перехвата логина и пароля Poloniex, мошенники пытались заполучить доступ к аккаунту в почтовом сервисе Gmail. Для этой цели на экране устройства отображалось окно с предложением пройти авторизацию в Gmail якобы для проверки безопасности. Имея доступ к учетной записи Poloniex и привязанному к ней аккаунту электронной почты, взломщики могли осуществлять разнообразные манипуляции со счетом, а также стирать входящие сообщения.
Чтобы поддерживать видимость нормальной работы и усыпить бдительность, приложение при каждом запуске осуществляло переадресацию пользователя на мобильную версию официального сайта Poloniex.
На данный момент оба приложения уже удалены из Google Play.