W katalogu aplikacji Snap Store, prowadzonym przez firmę Canonical i promowanym do użytku w Ubuntu, zidentyfikowano 10 aplikacji, które były stylizowane na oficjalne klienty popularnych portfeli kryptowalut, ale w rzeczywistości nie były powiązane z twórcami tych projektów i wykonywały złośliwe działania. Co więcej, w katalogu aplikacje te oznaczone są etykietą „Bezpieczne”, co stwarza złudzenie, że aplikacja została zweryfikowana i jest bezpieczna.
Aplikacje są publikowane przez użytkownika digisafe00000 pod nazwami podobnymi do „exodus-build-96567”, ale pojawiają się na liście aplikacji jako zwykłe aplikacje kryptograficzne Exodus, Tronlink, Polygon, Electrum, Uniswap, Ladger, Metamask, JaxxLiberty, Avalanche i Trustwallet.
Obecnie aplikacje te zostały już usunięte z katalogu Snap Store, ale niemal natychmiast po ich usunięciu zostały ponownie opublikowane pod nowym użytkownikiem codeguard0x0000 z nieco zmienionymi nazwami pakietów (na przykład „exodus-build-71776” i „metamask- stabilny28798”).
Podobną aktywność zaobserwowano w lutym, która zakończyła się kradzieżą około 9 bitcoinów (około 500 tys. dolarów) od użytkownika, który zainstalował fałszywego klienta Exodus. Ponieważ autorzy szkodliwych aplikacji z łatwością omijają automatyczny system sprawdzania opublikowanych pakietów na forum Canonical, część uczestników proponuje całkowity zakaz publikowania niezweryfikowanych aplikacji związanych z kryptowalutami w Snap Store, podobnie jak w 2022 r. aplikacji było zabronione w projektach platformy wspólnego rozwoju SourceHut.
Aplikacje to manekiny, które wyświetlają strony internetowe z witryny zewnętrznej (na przykład „http://89.116.111.145:5000/public/exodus/index.html”) przy użyciu opakowania opartego na WebKit GTK, które symuluje działanie zwykłego pulpitu aplikacji (w lutym incydent wykorzystał fikcyjne aplikacje napisane w Flutterze). Z funkcji działa tylko operacja importu kluczy i przywracania portfela, a próby utworzenia nowego portfela kończą się błędem.
Jeśli użytkownik wykona operację importu istniejącego portfela, powiązana z nim fraza odzyskiwania klucza zostanie wysłana na serwer osoby atakującej, a użytkownikowi wyświetli się komunikat o błędzie odzyskiwania portfela. Po uzyskaniu dostępu do kluczy napastnicy następnie wypłacają wszystkie środki z portfela ofiary.
Źródło: opennet.ru
