在撰写这篇博文时，比特币的价格（38,114.80 美元）从大约四个月前的历史高点下跌了约 44%。对于加密货币投资者来说，这可能是恐慌并撤回资金的时候，或者是新手抓住这个机会并以更低的价格购买加密货币的时候。如果您属于这些组之一，您应该仔细选择使用哪个移动应用程序来管理您的资金。

从 2021 年 5 月开始，我们的研究发现了数十个木马化的加密货币钱包应用程序。我们发现通过模仿合法服务的网站分发的带有木马的 Android 和 iOS 应用程序。这些恶意应用程序能够通过冒充 Coinbase、imToken、MetaMask、Trust Wallet、Bitpie、TokenPocket 或 OneKey 来窃取受害者的秘密种子短语。

这是一个复杂的攻击向量，因为恶意软件的作者对该方案中滥用的合法应用程序进行了深入分析，从而能够将自己的恶意代码插入到难以检测的地方，同时确保此类精心制作的应用程序具有与原始应用程序相同的功能。在这一点上，我们认为这是一个单独的攻击者或更可能是一个犯罪集团的工作。韩国vps 原生ip

这些恶意应用程序的主要目标是窃取用户的资金，到目前为止，我们已经看到该计划主要针对中国用户。随着加密货币越来越受欢迎，我们预计这些技术将传播到其他市场。2021 年 11 月，公开共享前端和后端分发网站的源代码，包括重新编译的 APK 和 IPA 文件，进一步支持了这一点。我们在至少五个网站上发现了此代码，并免费共享，因此预计会看到更多的模仿攻击者。从我们发现的帖子中，很难确定是故意分享还是泄露。

这些恶意应用程序还对受害者构成了另一种威胁，因为它们中的一些使用不安全的 HTTP 连接将秘密的受害者种子短语发送到攻击者的服务器。这意味着受害者的资金不仅可能被该计划的运营商窃取，还可能被同一网络上的不同攻击者窃听。除了这个加密货币钱包方案，我们还发现了 13 个冒充 Jaxx Liberty 钱包的恶意应用程序。这些应用程序在应用程序被列出之前可在 Google Play 商店中获得，该商店受到应用程序防御联盟的主动保护，ESET 是该联盟的扫描合作伙伴之一。

分配

ESET Research 发现了 40 多个流行的加密货币钱包模仿网站。这些网站仅针对移动用户，并为他们提供恶意钱包应用程序的下载。

根据为这些恶意应用程序在野外提供的域注册，以及创建几个开始搜索附属合作伙伴的 Telegram 组，我们能够将这些木马化加密货币钱包的分布向量追溯到 2021 年 5 月。

Telegram 是一款免费且流行的多平台消息传递应用程序，具有增强的隐私和加密功能，我们发现数十个此类团体在宣传加密货币移动钱包的恶意副本。我们假设这些群组是由该计划背后的威胁者创建的，他们正在寻找更多的分销合作伙伴，建议使用电话营销、社交媒体、广告、短信、第三方渠道、虚假网站等选项。所有这些群组都使用中文进行交流。根据从这些团体获得的信息，分发此恶意软件的人将获得钱包被盗内容 50% 的佣金。


图 1. 最早搜索分销合作伙伴的 Telegram 群组之一


图 2. 搜索分销合作伙伴的电报组


据称属于攻击者的钱包余额照片

不久之后，从 2021 年 10 月开始，我们发现这些 Telegram 群组在至少 56 个 Facebook 群组中被共享和推广，目的相同——寻找更多的分销合作伙伴。

2021 年 11 月，我们发现恶意钱包的分布，使用两个合法网站，针对中国用户 ( yanggan[.]net , 80rd[.]com )。在这些网站的“投资与理财”类别中，我们发现多达 6 篇使用山寨网站宣传移动加密货币钱包的文章，导致用户下载声称合法可靠的恶意移动应用程序。这些帖子滥用合法加密货币钱包的名称，例如 imToken、Bitpie、MetaMask、TokenPocket、OneKey 和 Trust Wallet。

所有帖子都包含一个带有公开统计数据的视图计数器。在我们进行研究时，所有这些帖子的浏览量都超过了 1840 次；但是，这并不意味着这些文章被访问了很多次。



2021年 12 月 10日，攻击者在中国合法网站的区块链新闻类别中发布了一篇文章，通报了北京最新的加密货币禁令。这项对加密货币交易所的禁令暂停了中国大陆用户的新注册。这篇文章的作者还整理了一份加密货币钱包（不是交易所）的清单，以规避当前的禁令。该列表建议使用五个钱包——imToken、Bitpie、MetaMask、TokenPocket 和 OneKey。问题是建议的网站不是钱包的官方网站，而是模仿合法服务的网站。