En el catálogo de aplicaciones de Snap Store, mantenido por Canonical y promocionado para su uso en UbuntuSe han identificado diez aplicaciones que se hacen pasar por clientes oficiales de monederos de criptomonedas populares, pero que en realidad no tienen relación con los desarrolladores de estos proyectos y realizan acciones maliciosas. Además, estas aplicaciones aparecen etiquetadas como "Seguras" en el catálogo, creando la ilusión de que han sido verificadas y son seguras.
Las aplicaciones las publica el usuario digisafe00000 con nombres similares a “exodus-build-96567”, pero aparecen en la lista de aplicaciones como aplicaciones criptográficas normales Exodus, Tronlink, Polygon, Electrum, Uniswap, Ladger, Metamask, JaxxLiberty, Avalanche y Trustwallet.
Actualmente, estas aplicaciones ya se eliminaron del catálogo de Snap Store, pero casi inmediatamente después de su eliminación se volvieron a publicar con el nuevo usuario codeguard0x0000 con nombres de paquetes ligeramente modificados (por ejemplo, “exodus-build-71776” y “metamask- estable28798”).
En febrero se observó una actividad similar que resultó en el robo de aproximadamente 9 bitcoins (aproximadamente $500 mil) de un usuario que instaló un cliente Exodus falso. Dado que los autores de aplicaciones maliciosas evitan fácilmente el sistema automático de verificación de paquetes publicados en el foro de Canonical, algunos participantes proponen prohibir por completo la publicación de aplicaciones no verificadas relacionadas con criptomonedas en Snap Store, de manera similar a como en 2022 se publicará la publicación de aplicaciones relacionadas con criptomonedas. Las aplicaciones estaban prohibidas en los proyectos de la plataforma de desarrollo colaborativo SourceHut.
Las aplicaciones son dummies que muestran páginas web de un sitio externo (por ejemplo, “http://89.116.111.145:5000/public/exodus/index.html”) utilizando un contenedor basado en WebKit GTK que simula el funcionamiento de un escritorio normal. aplicación (en el incidente de febrero se utilizaron aplicaciones ficticias escritas en Flutter). De las funciones, solo funciona la operación de importar claves y restaurar una billetera, y los intentos de crear una nueva billetera terminan con un error.
Si el usuario realiza la operación de importación de una billetera existente, la frase de recuperación de clave asociada se envía a servidor Los atacantes acceden a la billetera y muestran al usuario un mensaje de error de recuperación. Tras obtener acceso a las claves, los atacantes retiran todos los fondos de la billetera de la víctima.
Fuente: opennet.ru
