Antivírus blog

vírusok, férgek, botnetek, kártevők

Kriptovaluta - Mi lopunk, ti loptok, ők lopnak

2017. november 23. 10:24 - Csizmazia Darab István [Rambo]

A virtuális valuták elleni kiberbűnözés még a megjósolt trendeknél is gyorsabban terjed. A botnetes kártevőkkel fertőzött, és Bitcoint bányászó feltört gépek után most hamis kriptovalutával foglalkozó tőzsdei alkalmazás tűnt fel a hivatalos Google Play áruházban.

Az alternatív, digitális fizetőeszközök óriási ütemben terjednek és változtatják meg globális világunk gazdasági alapjait. A kriptovaluták gazdasági nagyságrendjét jól mutatja, hogy 2017 júliusában a teljes tőkepiaci értékük több mint 100 milliárd dollár, a lebonyolított napi mozgás pedig több, mint 6 milliárd dollár volt.

Természetesen ez az óriási volumen és a kriptovaluták körüli megnövekedett figyelem a kiberbűnözők érdeklődését is megsokszorozta, így még a korábban megjósolt trendekhez képest is gyorsabban és változatosabban terjedtek el különböző módszerek a csalásokra, digitális anyagi javaink eltulajdonítására.

A kiberbűnözők módszerei és céljai változatosak. Egyes esetekben a kriptovaluta forgalom alapját képező kriptovaluta bányászathoz szükséges erőforrást szeretnék megszerezni.

Ennek legutóbbi nagy vihart kavart esete idén szeptemberben volt, amikor a támadók rosszindulatú JavaScriptet juttattak be videómegosztó, és böngészőben futó játékoldalakba azért, hogy a bányászathoz szükséges számítási erőforrást megszerezzék a feltört, foltozatlan gépeken futó böngészőkön keresztül.

A másik módszer közvetlenül a már megszerzett kriptovalutánkat próbálja eltulajdonítani az ismert adatlopó trükkökkel. Most a népszerű Poloniex kriptovaluta tőzsde felhasználói váltak ilyen adatlopó alkalmazások célpontjaivá. A két hamis program hivatalos Poloniex mobilalkalmazásnak álcázva magát tűnt fel a Google Play hivatalos áruházában, amelynél a támadók a kriptovalutához kapcsolódó belépőkódok ellopása mellett még a felhasználók Gmail fiókjainak hozzáférését is megpróbálták megszerezni.

A kártevőket tartalmazó alkalmazásokat az ESET szakembereinek jelzése után eltávolították az áruházból, de így is közel 5,500 felhasználó telepítette azokat.

A Poloniex a világ egyik vezető kriptovaluta tőzsdéje, amely kiemelten vonzó célpont a csalók számára. Ennél az incidensnél a hivatalos mobilalkalmazás hiányát használták ki a kiberbűnözők, és nemes egyszerűséggel létrehoztak egy ilyet a cég nevével visszaélve. (Erre egyébként volt már korábban is precedens, például 2011-ben, amikor a hivatalosan nem is létező magyar UPC Távrögzítő nevét használva a csalók létrehoztak egy ilyet, és a trójait feltöltötték a hivatalos piactérre.)

Az első rosszindulatú alkalmazás POLONIEX néven jelent meg a Google Play áruházban. Augusztus 28 és szeptember 19 között közel 5 000 felhasználó telepítette a hamis alkalmazást a vegyes értékelés és a negatív visszajelzések ellenére.

A második alkalmazás POLONIEX EXCHANGE néven volt elérhető az áruházban. Október 15-én tűnt fel a Google Play kínálatában, és közel 500 felhasználó telepítette, mielőtt eltávolították az ESET szakembereinek figyelmeztetése után.

Ahhoz, hogy sikeresen átvegyék az irányítást a felhasználók Poloniex fiókja felett, a támadóknak először a belépési adatokat kell megszerezniük, majd a kapcsolódó email fiókhoz kell hozzáférniük, végül megfelelően álcázniuk kell a rosszindulatú alkalmazást, hogy ne keltsen gyanút a felhasználókban.

A folyamat az alkalmazás elindításával kezdődik, amikor a hamis Poloniex ablak a belépési adatokat kéri. Ha a felhasználó gyanútlanul beírja ezeket, és rákattint a „Bejelentkezés” gombra, akkor adatait a program elküldi a bűnözőknek. Ha viszont a Poloniex fiókhoz kétfaktoros azonosítás van rendelve, akkor a felhasználó biztonságban van, ehhez ugyanis már képes hozzáférni a kártékony program.

Ezek után a Gmail fiók adatainak megszerzési kísérlete következik, szintén egy hamis, adathalász belépőablak segítségével. Ha a bűnözők megszerzik a kívánt adatokat, akkor észrevétlenül indíthatnak tranzakciókat az áldozat fiókjából.

Hogyan védekezhetünk? Ha telepítettük az egyik, vagy mindkét alkalmazást, akkor elsőként törölnünk kell azokat. Utána meg kell változtassuk mind a Poloniex fiókunk, mind pedig a Gmail fiókunk jelszavát, és ahol lehet, ott kétfaktoros azonosítási lehetőséget érdemes beállítani. Általánosságban pedig az alábbi lépések segíthetnek az átverések elkerülésében:

- Győződjünk meg róla, hogy az igénybe vett szolgáltatás rendelkezik hivatalos mobilalkalmazással – ha igen, akkor ez a szolgáltatás hivatalos oldaláról is elérhető.

- Figyeljünk az alkalmazások értékelésére és a felhasználói visszajelzésekre.

- Legyünk óvatosak az olyan külső fejlesztő által készített alkalmazásokkal, amelyek használata során a Google hivatalos kinézetéhez hasonló ablakok ugranak fel és kérik adatainkat.

- Használjunk megbízható mobilbiztonsági megoldást, mint például az ESET Mobile Security megoldását.

- Amikor csak lehet, használjunk kétfaktoros azonosítást.

További részletes információ és elemzés az alábbi WeLiveSecurity blog bejegyzésben olvasható.
https://www.welivesecurity.com/2017/10/23/fake-cryptocurrency-apps-google-harvesting-credentials/

1 komment

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr2213353053

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

movhu 2017.11.23. 14:14:29

Csak 1-2 apró kiegészítés:

- A piaci kapitalizáció értéke ma átlépte a 250 milliárd dollárt, a napi forgalom pedig 13 milliárd dollár. Ez az év minden szempontból a legnagyobb növekedést produkálta a piacon, annak ellenére, hogy volt néhány esemény, ami pillanatnyilag odaütött. (kínai események, JP Morgan beszólás, stb.)
- A legbiztosabb védelem továbbra is, ha a tőzsdéket a felhasználó nem használja walletként, azaz ott csak a kereskedésben használt pénzét tartja, a többit olyan helyen, amihez ő rendelkezik a privát kulccsal. A tőzsde, online wallet mind olyan megoldás, ahol a pénzünk csak annyira van biztonságban, amennyire megbízható a tőzsde. Nyilván nem lehet túlzott paranoiával élni, mert akkor kereskedhetnénk készpénzben az aluljáróban, de nagyobb mennyiségű pénzt tartani másnál azért messze nem biztonságos. Főleg úgy, hogy a kriptovilágban a tranzakció irreverzibilis, miközben a lopott pénzről legfeljebb azt lehet tudni, hogy hová ment tovább, amiről pont úgy nem tudni kié, mint ahová kilopták.
- Minekutána a Bitcoin már nem bányászható nem csak CPU-val, hanem GPU-val sem, hanem csak célgépekkel, így a botnetek leginkább más pénzeket bányásznak, leginkább azokat, melyek még CPU-val is bányászhatók. Ilyenből nagy pl. a Monerot érintett, bár a bányász poolok igyekeznek kitiltani a botneteseket, senkinek nem érdeke ez a működés a piacon a botnet létrehozóján kívül.