- SHA1: dd0b699dc01ae6c439cc2273ccd6ad0dae2c6d84
Описание
Троян для ОС Android, созданный на основе приложения-криптокошелька MetaMask с открытым исходным кодом. Он похищает и передает на сервер злоумышленников мнемонические seed-фразы, которые используются для доступа к криптокошелькам. Вирусописатели распространяют его через специально созданные вредоносные сайты, копирующие внешний вид настоящего сайта проекта.
Сравнение настоящего сайта (слева) и сайта-подделки (справа):
Принцип действия
Android.CoinSteal.11 представляет собой полноценный вариант программы MetaMask с внедренной в него вредоносной функциональностью. Он выглядит и работает так же, как и оригинальная безопасная версия, при этом для пользователей кража данных происходит незаметно.
При запуске троян демонстрирует главное меню приложения. Так, в нем доступны опции по созданию новых криптокошельков, а также импорту уже имеющихся.
В обоих случаях seed-фраза, которая используется для авторизации и вводится в соответствующее поле, скрытно передается на C&C-сервер, расположенный по адресу hxxps://dht[.]tokenpocket[.]pm/api/jkkey.
