A kiberbûnözõk módszerei és céljai változatosak. Egyes esetekben a kriptovaluta forgalom alapját képezõ kriptovaluta bányászathoz szükséges erõforrást szeretnék megszerezni. Ennek legutóbbi nagy vihart kavart esete idén szeptemberben volt, amikor a támadók rosszindulatú JavaScriptet juttattak be videómegosztó, és böngészõben futó játékoldalakba azért, hogy a bányászathoz szükséges számítási erõforrást megszerezzék a feltört, foltozatlan gépeken futó böngészõkön keresztül.

A másik módszer közvetlenül a már megszerzett kriptovalutánkat próbálja eltulajdonítani az ismert adatlopó trükkökkel. Most a népszerû Poloniex kriptovaluta tõzsde felhasználói váltak ilyen adatlopó alkalmazások célpontjaivá. A két hamis program hivatalos Poloniex mobilalkalmazásnak álcázva magát tûnt fel a Google Play hivatalos áruházában, amelynél a támadók a kriptovalutához kapcsolódó belépõkódok ellopása mellett még a felhasználók Gmail fiókjainak hozzáférését is megpróbálták megszerezni. A kártevõket tartalmazó alkalmazásokat az ESET szakembereinek jelzése után eltávolították az áruházból, de így is közel 5 500 felhasználó telepítette azokat. A Poloniex a világ egyik vezetõ kriptovaluta tõzsdéje, amely kiemelten vonzó célpont a csalók számára. Ennél az incidensnél a hivatalos mobilalkalmazás hiányát használták ki a kiberbûnözõk, és nemes egyszerûséggel létrehoztak egy ilyet a cég nevével visszaélve.

A hamis alkalmazások

Az elsõ rosszindulatú alkalmazás POLONIEX néven jelent meg a Google Play áruházban. Augusztus 28 és szeptember 19 között közel 5 000 felhasználó telepítette a hamis alkalmazást a vegyes értékelés és a negatív visszajelzések ellenére.

A második alkalmazás POLONIEX EXCHANGE néven volt elérhetõ az áruházban. Október 15-én tûnt fel a Google Play kínálatában, és közel 500 felhasználó telepítette, mielõtt eltávolították az ESET szakembereinek figyelmeztetése után.

Hogyan mûködik?

Ahhoz, hogy sikeresen átvegyék az irányítást a felhasználók Poloniex fiókja felett, a támadóknak elõször a belépési adatokat kell megszerezniük, majd a kapcsolódó email fiókhoz kell hozzáférniük, végül megfelelõen álcázniuk kell a rosszindulatú alkalmazást, hogy ne keltsen gyanút a felhasználókban.

A folyamat az alkalmazás elindításával kezdõdik, amikor a hamis Poloniex ablak a belépési adatokat kéri. Ha a felhasználó gyanútlanul beírja ezeket, és rákattint a „Bejelentkezés” gombra, akkor adatait a program elküldi a bûnözõknek. Ha a Poloniex fiókhoz kétfaktoros azonosítás van rendelve, akkor a felhasználó biztonságban van, ehhez ugyanis nem fér hozzá a program.

Ezek után a Gmail fiók adatainak megszerzési kísérlete következik, szintén egy hamis, adathalász belépõablak segítségével. Ha a bûnözõk megszerzik a kívánt adatokat, akkor észrevétlenül indíthatnak tranzakciókat az áldozat fiókjából.

Hogyan védekezhetünk?

Ha telepítettük az egyik, vagy mindkét alkalmazást, akkor elsõként törölnünk kell azokat. Utána meg kell változtatni mind a Poloniex fiók, mind a Gmail fiók jelszavát, és ahol lehet kétfaktoros azonosítást kell beállítani.

Általánosságban pedig az alábbi lépések segíthetnek az átverések elkerülésében:

• Gyõzõdjünk meg róla, hogy az igénybe vett szolgáltatás rendelkezik hivatalos mobilalkalmazással – ha igen, akkor ez a szolgáltatás hivatalos oldaláról is elérhetõ.
• Figyeljünk az alkalmazások értékelésére és a felhasználói visszajelzésekre.
• Legyünk óvatosak az olyan külsõ fejlesztõ által készített alkalmazásokkal, amelyek használata során a Google hivatalos kinézetéhez hasonló ablakok ugranak fel és kérik adatainkat.
• Amikor csak lehet, használjunk kétfaktoros azonosítást.
• Használjunk megbízható mobilbiztonsági megoldást, mint például az ESET Mobile Security megoldását.

További információ és elemzés a WeLiveSecurity blog bejegyzésben.