- SHA1: 177c6d83200d0aaafafa04e8fb3295c5c061fd8f
Описание
Троян для ОС Android, встроенный в одну из модифицированных злоумышленниками версий приложения-криптокошелька Bitpie. Он похищает и передает на сервер злоумышленников мнемонические seed-фразы, которые используются для доступа к криптокошелькам. Вирусописатели распространяют его через специально созданные вредоносные сайты, копирующие внешний вид настоящего сайта проекта.
Сравнение настоящего сайта (слева) и сайта-подделки (справа):
Принцип действия
Android.CoinSteal.8 представляет собой полноценный вариант программы Bitpie с внедренной в него вредоносной функциональностью. Он выглядит и работает так же, как и оригинальная безопасная версия, при этом для пользователей кража данных происходит незаметно.
При запуске троян демонстрирует главное меню приложения, где доступны опции по созданию новых криптокошельков, а также импорту уже имеющихся.
В обоих случаях seed-фраза, которая используется для авторизации и вводится жертвой в приложении, скрытно передается на C&C-сервер, расположенный по адресу hxxps://api[.]btipie[.]com/api/:
Вызов соответствующих методов, отвечающих за запрос к серверу:
