Google Play Store verspreidde kwaadaardige apps Coin Wallet en Trezor Mobile Wallet

Stay tuned, abonneer!

Google’s Play Store heeft twee kwaadaardige apps gericht op Android-gebruikers gehost. Het gaat om Coin Wallet en Trezor Mobile Wallet. Beide apps waren gericht op cryptocurrencies en verbonden met hetzelfde coinwalletinc[.]com domain. Inmiddels zijn de apps uit Google Play verwijderd.

Onderzoekers van beveiligingsleverancier ESE ontdekten volgens Ars Technica de frauduleuze digitale portefeuilles. Iets wat voor ESET Malware-onderzoeker Lukas Stefanko niet als een verrassing komt, gezien de prijs van bitcoin eerder deze maand naar het hoogste niveau steeg sinds afgelopen juli. “Cybercriminelen merkten deze ontwikkeling snel op en begonnen hun inspanningen op te voeren om gebruikers van cryptocurrency op te lichten via verschillende zwendels en schadelijke apps”, aldus Stefanko.

Coin Wallet

Coin Wallet, waarvan de officiële naam luidt Coin Wallet-bitcoin, Ripple, Ethereum, Tether, was beschikbaar van 7 februari tot 5 mei en zou meer dan 1.000 keer zijn geïnstalleerd. De app laat gebruikers portefeuilles maken voor een groot aantal verschillende cryptocurrencies. Hoewel Coin Wallet beweerde een uniek portemonnee-adres te genereren voor gebruikers om munten te storten, gebruikte de app in feite een portemonnee voor ontwikkelaars in elke ondersteunde valuta. Het ging in totaal om 13 wallets. Ieder Coin Wallet-gebruiker kreeg voor een specifieke valuta hetzelfde portefeuille-adres toegewezen.

Stefanko: “Volgens de app kunnen gebruikers portefeuilles maken voor verschillende cryptocurrencies. Het werkelijke doel is echter gebruikers te misleiden cryptocurrency over te zetten naar de portefeuilles van de aanvallers. Het betreft een klassiek geval van wat we portefeuillespam hebben genoemd in ons vorige onderzoek naar malware. Dit was op basis van cryptocurrency-targeting.”

Trezor Mobile Wallet

Trezor Mobile Wallet werd na installatie al snel als nep geïdentificeerd. Het pictogram op telefoonschermen was duidelijk anders dan de echte, veelgebruikte hardware cryptocurrency Trezor-app en liet zelfs de woorden ‘Coin Wallet’ zien. Er zou sprake zijn van zo’n 50 downloads sinds de app 1 mei werd geupload in Google Play. De app instrueerde gebruikers inloggegevens in te voeren en deze naar een door de ontwikkelaars gecontroleerde server te sturen. Meerdere ingebouwde beveiligingslagen in de Trezor-app verhinderden het invoeren van legitimatiegegevens bij legitieme accounts. Desondanks konden e-mailadressen of andere persoonlijke gegevens mogelijk gebruikt worden bij phishing-aanvallen.

Lees ook: Google verplicht 64-bit-apps in Play Store vanaf augustus 2021