Лукас Стефанко (Lukas Stefanko), специалист компании ESET, выявил в официальном репозитории Google Play приложение, похищающее информацию из буфера обмена. Программа маскировалась под MetaMask, легитимный сервис для держателей криптовалюты Ethereum, и изменяла скопированный номер кошелька на принадлежащий злоумышленникам. По мнению специалистов, это первый клиппер, просочившийся в официальный магазин Google Play.

Стефанко обратил внимание на новое приложение MetaMask, выяснил, что среди легитимных разработок компании нет утилиты для Android, и решил детально изучить находку.

Как оказалось, фальшивая программа запрашивала у пользователя учетные данные кошелька Ethereum и отправляла их злоумышленникам через Telegram. Также аналитик выяснил, что зловред контролировал буфер обмена мобильного устройства и, обнаружив в нем номер биткойн-аккаунта или идентификатор хранилища Ethereum, заменял их на принадлежащие мошенникам. Киберпреступники рассчитывали, что жертва, копируя длинную последовательность цифр, не заметит подмены и выполнит перевод на их кошелек.

Ранее исследователи выявляли программы, нацеленные на контроль буфера обмена, лишь в среде Windows. В начале прошлого года специалисты обнаружили такую возможность у многофункционального трояна Evrial, который, помимо кражи сохраненных учетных данных и файлов куки, анализировал скопированную пользователем информацию. Зловред искал и заменял номера аккаунтов Steam, а также сведения о кошельках Bitcoin, Litecoin, Monero, WebMoney и Qiwi.

В июне прошлого года стало известно об атаках похитителя данных ClipboardWalletHijacker. Вредоносная программа, копирующая идентификаторы кошельков Ethereum и Bitcoin, обнаружилась на более чем 300 тыс. компьютеров, большая часть из которых находилась в Китае. Несмотря на масштаб заражения, ClipboardWalletHijacker не принес создателям ощутимой прибыли. Общая сумма транзакций в их пользу составила всего $800.

Авторы фальшивого приложения MetaMask также не смогли монетизировать свою разработку — после сообщения Стефанко модераторы Google Play удалили вредонос из репозитория. По информации Bleeping Computer со ссылкой на исследователя, фальшивку скачали лишь пять владельцев Android-устройств.

Категории: Вредоносные программы, Мошенничество