A Google Play áruházban közvetlenül terjesztett kártékony alkalmazásokra figyelmeztetnek biztonsági szakértők, miután hackerek valódi fejlesztői fiókok feltörésével kezdtek el rosszindulatú programokat terjeszteni.

A cyble.com portál szakértői mintegy húsz olyan alkalmazást azonosítottak, amelyek ismert kriptopénztárcákat – többek között a SushiSwap, PancakeSwap, Hyperliquid és Raydium szolgáltatásokat – utánozva próbáltak hozzáférést szerezni a felhasználók digitális vagyonához. A támadók elsődleges célja a kriptopénztárcákhoz tartozó mnemonikus jelszavak megszerzése volt, amelyek birtokában korlátlan hozzáférést nyerhetnek az áldozatok számláihoz.

A támadási mechanizmus rendkívül egyszerű, ugyanakkor hatékony. A felhasználó letölti az eredeti alkalmazással megegyező nevű és ikonú programot, amely indításkor a bejelentkezéshez szükséges mnemonikus jelszó megadását kéri. Valójában azonban ez a 12 szavas hozzáférési kulcs azonnal a támadók szerverére kerül, akik ezt követően kiüríthetik az áldozat számláját.

A szakértők külön kiemelik, hogy az alkalmazások korábban megbízható fejlesztői fiókokon keresztül kerültek publikálásra. „Ezek a fiókok korábban legitim alkalmazásokat – játékokat, videólejátszókat – tettek közzé, némelyik több mint 100 000 letöltéssel rendelkezett” – figyelmeztetnek a cyble.com szakértői.

A támadók egyik trükkje az volt, hogy adathalász oldalakat konvertáltak mobil alkalmazásokká, amelyek aztán a WebView komponensen keresztül nyitották meg ezeket az oldalakat. A csaló weboldalakat több mint 50 különböző domainre telepítették, és mindegyik ugyanazon az IP-címen futott, ami központosított és jól szervezett műveletre utal.

A biztonsági szakértők azonnal jelentették a felfedezett alkalmazásokat a Google-nak, amelyek többségét azóta eltávolították, ugyanakkor néhány még mindig elérhető az áruházban. A felhasználóknak különösen óvatosnak kell lenniük olyan alkalmazásokkal, amelyek a PancakeSwap, Suit Wallet, Hyperliquid, Raydium, BullX Crypto, OpenOcean Exchange vagy hasonló néven jelennek meg.