اكتشاف تطبيق أندرويد يسرق العملات المشفرة للمستخدمين
وجد الباحثون في ESET مؤخراً أول نموذج لسلالة جديدة نسبياً من البرمجيات الخبيثة، عبارة عن تطبيق أندرويد يسرق العملات المشفرة من أجهزة المستخدمين، ويتخفى تحت الاسم MetaMask على متجر جوجل بلاي.
وسارع الباحثون إلى إبلاغ الفريق الأمني في جوجل بلاي بالتطبيق الخبيث في أول فبراير، ليسارع الفريق إلى حذفه من متجر تطبيقات جوجل بعد التأكّد من أضراره.
تطبيق أندرويد يسرق العملات المشفرة
يستخدم الهجوم حيلة بسيطة جداً للاستحواذ على الأموال الرقمية للمستخدمين، حيث يتم تعيين قيم العملة الافتراضية إلى سلسلة طويلة وفريدة من نوعها تُعرف باسم المحفظة.
ولإجراء أي معاملة، يحتاج المرسل عادةً إلى إدخال عنوان محفظة المستلم في التطبيق، وتشبه هذه الطريقة في عملها كتابة العنوان على الظرف قبل وضعه في صندوق البريد ليتم تسليمه إلى الموقع الصحيح.
وبدلاً من إدخال هذه العناوين الطويلة والمعقدة يدوياً، يقوم معظم المستخدمين بنسخها ولصقها، وهنا يتدخل تطبيق clipper الخبيث، حيث يعمل على مراقبة حافظة النظام، وبمجرد أن يكتشف شيئاً يبدو كعنوان مستهدف، يقوم بتغييره إلى عنوان آخر خاص بالتطبيق.
اقرأ أيضاً: 5 حقائق غريبة عن عملة بيتكوين قد لا تعرفها
ملحوظة: حافظة النظام أو clipboard هي المكان الذي يتم فيه تخزين البيانات المنسوخة قبل لصقها.
وعندما يظن المستخدم أنّه يرسل العملات المشفرة إلى المُستلم، هو في الحقيقة يُرسلها إلى التطبيق نفسه. كما أن تطبيق clipper لديه القدرة على انتزاع بيانات اعتماد المستخدم، والمفاتيح الخاصة من حافظة النظام.
وبمجرد أن يمتلك المهاجم هذه البيانات، يكون قادراً على انتحال شخصية المستخدم وسحب الأموال مباشرة، وهذه الطريقة بالذات هي أحد الأسباب التي جعلت الكثير من خبراء العملات المشفرة ينصحون بتخزين الجزء الأكبر من العملات في مكان تخزين دون اتصال بالإنترنت، وإبقاء قدر قليل منها على الموبايل.
تجدر الإشارة إلى أن برنامج clipper موجود منذ عام 2017 وكان وقتها يستهدف مستخدمي ويندوز، قل أن يبدأ في استهداف مستخدمي أندرويد منتصف العام الماضي، وتواجد في متجر تطبيقات جوجل متخفياً في شكل تطبيق آخر يُدعى MetaMask.
يجدر بالذكر أن خدمة MetaMask الأصلية ليس لديها تطبيق على الموبايل، ولهذا السبب طلبت الخدمة من جوجل زيادة حمايتها للعلامات التجارية قبل نشر التطبيقات.
