Мобильные трояны нацелились на криптовалюту

Стремительный рост курса криптовалют за последний год привел к увеличению числа краж «цифровых» монет у ничего не подозревающих пользователей. Как правило, большинство похищений осуществляется с помощью вредоносного ПО для стационарных компьютеров, однако, как показывают недавние инциденты, воры также взяли на вооружение мобильные трояны.

Несколько недель назад исследователи компании IBM обнаружили, что банковский троян TrickBot с помощью web-инъекций меняет настоящий адрес криптовалютного кошелька на адрес кошелька злоумышленника и таким образом похищает средства у жертв. Мобильные вредоносы действуют таким же образом. С помощью поддельного экрана, перекрывающего настоящий, трояны обманом заставляют пользователей отправлять средства на счет вора.

Для добычи криптовалюты киберпреступники чаще всего заражают мобильные устройства майнерами, а не банковскими троянами. Тем не менее, из-за небольшой мощности смартфонов такой майнинг не приносит большой прибыли. Кроме того, из-за чрезмерного нагревания устройств и снижения их производительности пользователи сразу замечают неладное.

Операторы троянов не устанавливают майнеры на устройства жертв, а похищают уже добытую криптовалюту. Вредоносы используют технику, похожую на web-инъекции – на экране атакуемого устройства отображается поддельный экран, куда пользователь вносит свои учетные данные. Преступники похищают эти данные, получают с их помощью доступ к кошельку жертвы и опустошают его.

Некоторые семейства троянов, такие как ExoBot, BankBot, Marcher и Mazar, способны идентифицировать открытые на устройстве приложения. В зависимости от запущенного приложения они могут отображать поверх него вшитые или динамически получаемые поддельные экраны. По данным IBM, таким образом трояны похищают Bitcoin, Bitcoin Cash, Ethereum, Litecoin, Monero и другую криптовалюту.