Удалите все приложения из этого списка, если они есть на вашем телефоне
Программы маскируются под популярные сервисы и воруют криптовалюту.
Даже если вы скачиваете приложения только из Google Play, это не всегда гарантирует безопасность — особенно если речь идёт о криптокошельках. Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили более 20 вредоносных Android-приложений, которые маскируются под популярные кошельки и незаметно крадут ключи от ваших цифровых активов.
Подделки копируют названия, иконки и интерфейсы таких известных сервисов, как SushiSwap, PancakeSwap, Hyperliquid, Raydium и другие. Оказавшись на телефоне, они просят пользователя ввести мнемоническую фразу — тот самый 12-словный «ключ от сейфа», необходимый для восстановления доступа к кошельку. Введёте — и ваши средства будут мгновенно выведены злоумышленниками.
Эти приложения распространяются не абы как, а через взломанные или переиспользованные аккаунты разработчиков, которые раньше публиковали легальные программы — игры, видеосервисы, стриминговые приложения. Некоторые из них до сих пор доступны в Google Play, другие были удалены после жалоб исследователей, но кампания продолжается.
Подозрительные признаки схожи у всех вредоносов: ссылки на фишинговые домены спрятаны в политике конфиденциальности, используются одинаковые схемы наименования пакетов, а разработка велась на базе одного фреймворка Median, который быстро превращает веб-сайты в APK-файлы.
Вот список обнаруженных вредоносных приложений:
| Название приложения | Идентификатор пакета | Фишинговый домен |
|---|---|---|
| Pancake Swap | co.median.android.pkmxaj | hxxps://pancakefentfloyd.cz/privatepolicy.html |
| Suiet Wallet | co.median.android.ljqjry | hxxps://suietsiz.cz/privatepolicy.html |
| Hyperliquid | co.median.android.jroylx | hxxps://hyperliqw.sbs/privatepolicy.html |
| Raydium | co.median.android.yakmje | hxxps://raydifloyd.cz/privatepolicy.html |
| Hyperliquid | co.median.android.aaxblp | hxxps://hyperliqw.sbs/privatepolicy.html |
| BullX Crypto | co.median.android.ozjwka | hxxps://bullxni.sbs/privatepolicy.html |
| OpenOcean Exchange | co.median.android.ozjjkx | hxxps://openoceansi.sbs/privatepolicy.html |
| Suiet Wallet | co.median.android.mpeaaw | hxxps://suietsiz.cz/privatepolicy.html |
| Meteora Exchange | co.median.android.kbxqaj | hxxps://meteorafloydoverdose.sbs/privatepolicy.html |
| Raydium | co.median.android.epwzyq | hxxps://raydifloyd.cz/privatepolicy.html |
| SushiSwap | co.median.android.pkezyz | hxxps://sushijames.sbs/privatepolicy.html |
| Raydium | co.median.android.pkzylr | hxxps://raydifloyd.cz/privatepolicy.html |
| SushiSwap | co.median.android.brlljb | hxxps://sushijames.sbs/privatepolicy.html |
| Hyperliquid | co.median.android.djerqq | hxxps://hyperliqw.sbs/privatepolicy.html |
| Suiet Wallet | co.median.android.epeall | hxxps://suietwz.sbs/privatepolicy.html |
| BullX Crypto | co.median.android.braqdy | hxxps://bullxni.sbs/privatepolicy.html |
| Harvest Finance blog | co.median.android.ljmeob | hxxps://harvestfin.sbs/privatepolicy.html |
| Pancake Swap | co.median.android.djrdyk | hxxps://pancakefentfloyd.cz/privatepolicy.html |
| Hyperliquid | co.median.android.epbdbn | hxxps://hyperliqw.sbs/privatepolicy.html |
| Suiet Wallet | co.median.android.noxmdz | hxxps://suietwz.sbs/privatepolicy.html |
Дополнительно были выявлены два приложения, которые используют иные схемы, но с той же целью — похищение ключей доступа:
| Название приложения | Идентификатор пакета | Фишинговый домен |
|---|---|---|
| Raydium | cryptoknowledge.rays | hxxps:// www.termsfeed.com/live/a4ec5c75-145c-47b3-8b10-d43164f83bfc |
| PancakeSwap | com.cryptoknowledge.quizzz | hxxps:// www.termsfeed.com/live/a4ec5c75-145c-47b3-8b10-d43164f83bfc |
Некоторые вредоносы открывают фишинговые сайты внутри встроенного WebView, другие используют скомпилированные модули для загрузки интерфейса. Все они ведут на сайты, которые визуально копируют настоящие кошельки, но являются ловушкой. Исследователи выяснили, что за этими приложениями стоит общая инфраструктура с более чем 50 фишинговыми доменами, размещёнными на одном IP-адресе.
Эта атака особенно опасна из-за тонкой маскировки под настоящие продукты и использования авторитетных учётных записей. Для пользователей криптовалют это может означать полную и безвозвратную потерю средств — в отличие от банков, здесь нет возможности отменить транзакцию или вернуть украденное.
Чтобы обезопасить себя, загружайте приложения кошельков только по ссылке с официального сайта проекта. Проверьте, нет ли в телефоне приложений из списка. А также включите защиту Google Play Protect — она может помочь блокировать подозрительные установки на ранней стадии.
В эпоху цифровых активов каждое неосторожное касание экрана может стоить вам всего кошелька.