Специалисты Cyble Research and Intelligence Labs (CRIL) выявили более 20 вредоносных приложений в Google Play Store, которые маскируются под популярные криптокошельки, такие как SushiSwap, PancakeSwap, Hyperliquid и Raydium. Эти программы используют фишинговые методы, чтобы выманить у пользователей их 12-словные мнемонические фразы, которые затем используются для доступа к реальным кошелькам и кражи средств.
Описание
Злоумышленники распространяют вредоносные приложения через Play Store, используя скомпрометированные или перепрофилированные аккаунты разработчиков. Ранее эти аккаунты использовались для публикации легальных приложений, включая игры, видеозагрузчики и стриминговые сервисы, что повышает доверие к фишинговым версиям.
Анализ показал, что вредоносные программы используют схожие методы: встраивают URL-адреса фишинговых сайтов в политики конфиденциальности, повторяют шаблоны названий пакетов и применяют фреймворки для быстрого развертывания. Некоторые из этих приложений все еще доступны в магазине, несмотря на усилия CRIL по их удалению.
Эксперты также обнаружили, что злоумышленники используют централизованную инфраструктуру: один IP-адрес может быть связан с десятками фишинговых доменов, что усложняет обнаружение угрозы. Пользователям рекомендуется проверять разработчиков приложений, избегать ввода мнемонических фраз в подозрительных интерфейсах и скачивать кошельки только с официальных сайтов.
Google уже удалил большинство вредоносных приложений, однако атаки продолжаются, что указывает на необходимость усиления мер безопасности в магазине приложений.
Индикаторы компрометации
Domains
- aerodromeaz.sbs
- aerodromesblogs.site
- bitunixflo.sbs
- bravebn.sbs
- bubblemapsblogs.sbs
- bullxni.sbs
- cetusdi.sbs
- cryptoknowledge.click
- harvestfin.sbs
- hyperliqw.sbs
- jumperblogs.site
- meteorablog.site
- meteorafloydoverdose.sbs
- meteorasp.ru
- openoceansi.sbs
- pancakefentfloyd.cz
- pancakws.ru
- pumpjake.sbs
- raydi-commerce.cz
- raydifloyd.cz
- raydiumblogs.site
- raydiumsm.sbs
- solscanpv.ru
- staratlas.sbs
- suietsiz.cz
- suietwallets.site
- suietwz.sbs
- suiscanfl.sbs
- suivisionsl.sbs
- sushiblogsite.site
- sushijames.sbs
- walrusod.sbs
URLs
- https://pancakefentfloyd.cz/api.php
- https://piwalletblog.blog
MD5
- b2e6fd5f9662c4215f89240c8c960977
- b703efe31690b6f84676e795d33f6283
SHA1
- 265970e7f8f5c9618ffc215c7612eff4fe97f20a
- f288c626be0ba452e098d11b207867793522373c
SHA256
- 4aa3659c50616d21ef0bda1389cba1ad3fe768b9dd25eee09289ece97cd3623f
- 4b35a1ed93ab68f0401de34d4eb5dbb582465ee2a8428e16d0beac8bf87a09af
