Solitamente questo tipo di app viene distribuito tramite siti esterni. Gli esperti del Cyble Research and Intelligence Labs hanno invece individuato oltre 20 app di crypto phishing sul Google Play Store. Sembrano apparentemente legittime, ma le ignare vittime invieranno le credenziali dei wallet ai cybercriminali.
App distribuite con account compromessi
I ricercatori di Cyble hanno scoperto che le app sono state pubblicate tramite account compromessi di alcuni sviluppatori. Gli utenti potevano quindi trovare app per wallet apparentemente legittime, come SushiSwap, PancakeSwap e Hyperliquid. In realtà servivano solo per rubare i dati di accesso e svuotare il portafoglio di criptovalute. Google ha rimosso quasi tutte le app in seguito alla segnalazione.
Le app usano nomi dei pacchetti e descrizioni molto simili anche se distribuite da diversi sviluppatori. Quasi tutte sono basate sul framework Median. Gli URL dei server C&C (command and control) sono nascosti nell’informativa sulla privacy. L’indirizzo, presente anche nel file di configurazione, porta su un sito di phishing caricato nel WebView delle app.
All’avvio viene chiesta la frase mnemonica da 12 o 24 parole per collegare il wallet. Ovviamente verrà inviata ai cybercriminali che effettueranno l’accesso al portafoglio e ruberanno tutte le criptovalute. I ricercatori di Cyble hanno individuato almeno 50 domini di phishing che sembrano autentici.
Le app condividono la stessa infrastruttura, quindi potrebbe essere una campagna coordinata. Gli utenti devono scaricare le app sono da sviluppatori verificati, leggere le recensioni ed evitare app che richiedono dati sensibili, come la frase mnemonica. Non deve essere inoltre disattivata la funzionalità Play Protect, in quanto può rilevare e bloccare questo tipo di minacce.
Ti potrebbe interessare
9 giu 2025