- SHA1: cb4ea311930e1a678efe84b5ccc88d95b36d1466
Описание
Троян для ОС Android, встроенный в одну из модифицированных злоумышленниками версий приложения-криптокошелька imToken. Он похищает и передает на сервер злоумышленников мнемонические seed-фразы, которые используются для доступа к криптокошелькам. Вирусописатели распространяют его через специально созданные вредоносные сайты, копирующие внешний вид настоящего сайта проекта.
Сравнение настоящего сайта (слева) и сайта-подделки (справа):
Принцип действия
Android.CoinSteal.10 представляет собой полноценный вариант программы imToken с внедренной в него вредоносной функциональностью. Он выглядит и работает так же, как и оригинальная безопасная версия, при этом для пользователей кража данных происходит незаметно.
При запуске троян демонстрирует главное меню приложения, где доступны опции по созданию новых криптокошельков, а также импорту уже имеющихся.
В обоих случаях seed-фраза, которая используется для авторизации и вводится жертвой в приложении, скрытно передается на C&C-сервер, расположенный по адресу hxxps://api4[.]dealinterface[.]com/api/.
Фрагмент кода, отвечающего за перехват данных:
Фрагмент кода, отвечающий за передачу данных на C&C-сервер:
