Мошенники угоняют аккаунты криптовалютной биржи Poloniex

Александр Панасенко 02 Ноября 2017 - 13:19

...

Мошенники угоняют аккаунты криптовалютной биржи Poloniex

Эксперты ESET обнаружили новую мошенническую кампанию в Google Play. Ее жертвами стали пользователи популярной криптовалютной биржи Poloniex. Poloniex – одна из ведущих бирж, на которой можно торговать более чем 100 криптовалютами. Популярность площадки привлекает мошенников.

В данном инциденте злоумышленники воспользовались отсутствием официального мобильного приложения Poloniex – они распространяли вредоносные приложения под видом легитимных.

Первое вредоносное приложение проникло в Google Play под названием POLONIEX от одноименного разработчика. С 28 августа по 19 сентября его установили до 5000 пользователей, несмотря на противоречивые оценки и негативные отзывы. Второе – POLONIEX EXCHANGE от POLONIEX COMPANY – появилось в Google Play 15 октября и было установлено 500 раз. После предупреждения ESET подделки удалили из магазина.

Вредоносные приложения предназначены для кражи аккаунтов Poloniex. Чтобы получить доступ к учетной записи, мошенникам нужны логины и пароли от биржи и электронной почты, привязанной к «биржевому» аккаунту. Кроме того, поддельное приложение не должно вызывать подозрений пользователя. В обоих подделках реализованы одни и те же методы для решения этих задач.

Сразу после запуска вредоносного приложения на экране появляется фальшивая форма ввода логина и пароля Poloniex. Введенные данные отправляются злоумышленникам. Если жертва не использует в Poloniex двухфакторную аутентификацию, атакующие получат доступ к аккаунту. Они смогут самостоятельно выполнять транзакции и менять настройки, включая пароль.

Перехватив логин и пароль от Poloniex, злоумышленники пытаются получить доступ к Gmail. Для этого на экран устройства выводится окно, предлагающее войти в Gmail для «проверки безопасности». Получив доступ к аккаунту Poloniex и связанному аккаунту электронной почты, атакующие смогут проводить операции со счетом и удалять любые уведомления из входящих сообщений.

Наконец, чтобы обеспечить видимость нормальной работы, приложение переадресовывает пользователя на мобильную версию легитимного сайта Poloniex при каждом запуске.

ESET рекомендует проверять подлинность мобильных приложений (наличие ссылки на официальном сайте), рейтинги и отзывы пользователей на GooglePlay, а также использовать двухфакторную аутентификацию и надежное антивирусное решение для мобильных устройств.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 18:59

Android Трояны Домашние пользователи Доктор Веб

Троян Android.MagicAd пролез в официальные магазины Xiaomi и Samsung

Пользователям Android снова напомнили, что даже официальный магазин приложений не всегда гарантирует безопасность. Специалисты «Доктор Веб» обнаружили семейство троянов Android.MagicAd, которое научилось показывать рекламу поверх других приложений, обходя встроенные защитные механизмы операционной системы.

Особенность Android.MagicAd в том, что он действует максимально скрытно. Вредоносный код хранится внутри зашифрованных нативных библиотек и расшифровывается только во время работы приложения.

Перед активацией троян проверяет окружение: ищет признаки виртуальных машин, анализирует способ установки приложения и даже проверяет IP-адрес устройства. Если всё выглядит безопасно для злоумышленников, вредонос приступает к работе.

После запуска Android.MagicAd скрывает свою иконку, создаёт фоновые службы и начинает демонстрировать рекламные баннеры. Причём делает это без разрешения SYSTEM_ALERT_WINDOW, которое обычно требуется для вывода окон поверх других приложений.

Вместо этого троян использует целый набор нестандартных приёмов. Например, на устройствах Xiaomi он взаимодействует с браузером Mi Browser и компонентами MIUI, на смартфонах Vivo использует системные сервисы через механизм Binder, а на устройствах Amazon эксплуатирует домашний экран Fire TV.

Есть и универсальный метод. Вредонос запускает медиаплеер с практически нулевой громкостью, имитирует нажатие мультимедийных кнопок и использует системные механизмы управления воспроизведением как точку входа для показа рекламы. Со стороны всё выглядит как обычная работа мультимедийных функций Android.

По данным Doctor Web, заражённые приложения распространялись через официальный магазин Xiaomi GetApps, а также были замечены в Samsung Galaxy Store. Всего исследователи насчитали более 50 вредоносных приложений.

Авторы кампании старались не привлекать лишнего внимания. Приложения появлялись в магазинах на ограниченное время, затем удалялись и заменялись новыми программами от тех же разработчиков. Такой подход позволял поддерживать заражения и одновременно снижать риск обнаружения.

На данный момент вредоносные приложения уже удалены из каталогов, а связанные с ними учётные записи разработчиков перестали публиковать новые программы. Однако установленные ранее копии продолжают работать на устройствах пользователей.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!