ESET: Falošné aplikácie pre Mac kradnú údaje o kryptomenových peňaženkách

Výskumníci bezpečnostnej spoločnosti ESET objavili webstránky, ktoré distribuovali škodlivé aplikácie na výmenu kryptomien určené pre počítače s operačným systémom Mac. Išlo o legitímne aplikácie, ku ktorým však bol pribalený škodlivý kód GMERA. Jeho operátori ho používajú na kradnutie informácií ako napríklad cookies z internetových prehliadačov, informácie o kryptomenových peňaženkách a snímky obrazovky.

Zaujímavé je, že útočníci škodlivý kód nastavili tak, aby na najnovšej verzii operačného systému macOS Catalina nerobil snímky z obrazovky. Pre ich zlé nastavenie to však škodlivý kód aj tak robil. Na Cataline sa útočníci týmto snímkam snažili vyhnúť zjavne pre odhalenie svojej prítomnosti na infikovanom zariadení. Pri tejto verzii operačného systému musí totiž používateľ schvaľovať všetky vytvorenia snímok obrazovky pri každej aplikácii.

Upozornenie macOS Catalina pri škodlivej aplikácii Licatrade, ktorá sa pokúšala o vytvorenie snímky obrazovky na infikovanom zariadení.

„Toto je veľmi dobrý príklad z reálneho života, kedy funkcia operačného systému pomáha pri obmedzovaní aktivít útočníkov,“ vysvetľuje Marc-Etienne Léveillé zo spoločnosti ESET, ktorý viedol výskum tohto škodlivého kódu. ESET aj z tohto dôvodu odporúča používateľom akéhokoľvek operačného jeho pravidelnú aktualizáciu a optimálne aj prechod na najnovšiu verziu, ktorá obsahuje opravy bezpečnostných chýb a ďalšie bezpečnostné vylepšenia.

Počas tejto vlny útokov útočníci zneužili legitímnu aplikáciu Kattana a do jej inštalátora pridali škodlivý kód. Za účelom infekcie vytvorili aj falošné webstránky, ktoré kopírovali legitímnu webstránku Kattany. Falošné webstránky sú vytvárané kvôli tomu, aby sťahovanie falošných aplikácií pôsobilo legitímne.

Preklik na stiahnutie aplikácie obsahuje odkaz na ZIP súbor obsahujúci trojanizovanú aplikáciu. Výskumníci ESETu našli štyri takéto falošné aplikácie: Cointrazer, Cupatrade, Licatrade a Trezarus.

Skutočná stránka Kattany vs. falošná stránka kopírujúca jej obsah.

Výskumníci zároveň zatiaľ nezistili, kde presne sú tieto trojanizované aplikácie promované. V marci 2020 však legitímna aplikácia Kattana informovala, že obete sú k stiahnutiu škodlivej verzie aplikácie oslovované individuálne. ESET v tejto chvíli nevie potvrdiť, či sa už vtedy jednalo o tento prípad formy šírenia škodlivého kódu GMERA.

Okrem analýzy škodlivého kódu sa výskumníci ESETu venovali aj vytvoreniu honeypotov (výskumných počítačov) a nalákali operátorov tohto škodlivého kódu k tomu, aby vzdialene kontrolovali tieto honeypoty. Cieľom výskumníkov bolo odhalenie skutočnej motivácie tejto skupiny kriminálnikov. „Na základe zachytenej aktivity môžeme potvrdiť, že útočníci zbierali informácie z internetových prehliadačov ako sú cookies a história, informácie o kryptomenových peňaženkách a snímky obrazovky,“ vysvetľuje Léveillé.