Компания Google незамедлительно удалила из Google Play три поддельных приложения для доступа к биткойн-кошелькам, обнаруженные исследователями из компании Lookout.

По словам экспертов, приложения, выдаваемые за легитимные криптокошельки, меняли адрес продавца на реквизиты злоумышленников, так что покупатели перечисляли платежи им.

В общей сложности все три приложения загрузили 20 тысяч раз. Речь идет о приложениях Bitcoin mining, Blockchain Bitcoin Wallet — Fingerprint и Fast Bitcoin Wallet.

Каждое из приложений находилось в Google Play в течение нескольких месяцев. Зловред Fast Bitcoin Wallet дольше других был доступен для скачивания — его установили 5 тысяч пользователей. Приложение Blockchain Bitcoin Wallet — Fingerprint оказалось самым популярным и набрало 10 тысяч загрузок.

В Lookout заявили, что злоумышленники пользуются растущим интересом к криптовалюте. По данным Coinbase, за последние 12 месяцев курс биткойна вырос в 19 раз. В прошлый четверг один биткойн стоил $16100 против $8100 в прошлом месяце.

Удаление фальшивок из Google Play произошло через неделю после того, как Apple очистила App Store от поддельной версии популярного приложения MyEtherWallet.com. Согласно отчету TechCrunch, его загрузили 3000 раз.

По словам исследователей, в Google удалили приложения сразу, как только получили сообщение от Lookout. ИБ-исследователи дали название PickBitPocket программам-похитителям такого типа.

Поверхностный обзор магазинов приложений для Android показал, что эти программы по-прежнему доступны для скачивания на момент публикации новости.

Вот как описывает мошенническую схему Lookout: «Продавец передает покупателю адрес кошелька для перевода платежа. Если он использует PickBitPocket-приложение, то оно подменит его адрес на адрес автора подделки, и платеж пройдет на кошелек злоумышленника».

Анализ показал, что все три приложения принадлежат одному разработчику, поведал Threatpost Кристоф Хебайзен (Christoph Hebeisen), руководитель ИБ-исследований в Lookout.

Он также добавил, что программы подобного типа очень сложно идентифицировать как вредоносные: «Они не совершают никаких технических действий, которые в Google расценили бы как вредоносные. Они не крадут персональные данные и не взаимодействуют с вредоносными серверами. Они лишь сообщают пользователю, желающему произвести платеж, адрес своего кошелька. С технической стороны все выглядит совершенно нормальным».

За прошедший год в Google сделали значительные шаги по укреплению экосистемы Android, начиная с Google Play и заканчивая самими устройствами.

В мае Google представила Play Protect — новую защитную технологию, которая позволяет контролировать контент, загружаемый на устройства Android. К примеру, можно включить непрерывное сканирование ранее загруженных приложений на предмет подозрительного поведения, чтобы уберечься от разработчиков, которые загружают в Google Play безопасные приложения, впоследствии устанавливающие вредоносные компоненты.

Несмотря на это, продолжают поступать сообщения о вредоносных приложениях в Google Play.

Ранее в этом месяце Google выдворила шпиона Tizi, обнаруженного в ряде Android-приложений. В ноябре из магазина удалили поддельный WhatsApp, загруженный более миллиона раз. В августе та же участь постигла три приложения, зараженные шпионом SonicSpy.

Категории: Вредоносные программы, Мошенничество