雖然Apple對App Store內的安全不遺餘力,但仍然有不少漏網之魚,近期研究人員發現超過20個釣魚應用程式偽裝加密錢包,大舉攻擊iPhone和Mac用戶,目標當然是他們持有的加密貨幣。
加密錢包複製大軍
在今年三月,研究人員發現釣魚應用程式成為了中國App Store的榜首,它的標示和名稱都偽裝成知名的加密錢包管理工具,由於地區限制中國App Store封鎖了幾個官方錢包程式,攻擊者便乘虛而入創建假應用程式,使用相似的圖示和名字,既可繞過App Store的審核又能欺騙用戶。除此之外,研究人員發現一些應用程式的名稱和圖示都與加密貨幣無關,卻聲稱可以用來下載和安裝受地域限制而無法上架的官方錢包應用程式。
總共26個釣魚應用程式冒充知名的MetaMask、Ledger、Trust Wallet、Coinbase、TokenPocket、 imToken和Bitpit,還有部份相似的應用程式不含釣魚功能,但所有蛛絲馬跡都指向相同的攻擊者,很可能準備在未來加入惡意功能。開發者為了應用程式能成功上架,加入了一些基本功能,例如遊戲、計數機或工作計劃工具等。安裝這些複製品是失去加密財產的第一步,即使應用程式本身不會盜竊加密貨幣、seed phrase或密碼,它們扮演誘餌的角色博取用戶的信任,一旦安裝和啟動,應用程式便會在受害者的瀏覽器打開釣魚網站,設計看似App Store,然後指示用戶安裝惡意的加密錢包,攻擊者創建了多個不同版本的惡意模組,每個都訂製針對特定錢包,詳細資料可瀏覽Securelist。
受害者墮入陷阱後,首先會被指示安裝一個配置文件,容許應用程式由App Store以外的渠道側載到iPhone上,設定檔會被用來安裝惡意應用程式。其中一個例子是加入了木馬功能的Ledger應用程式,看貌和原版相同,一旦連接到硬件錢包,便會顯示需要seed phrase的視窗,聲稱是為了恢復存取,但這並非標準流程,正常只需要輸入PIN而不需seed phrase,如果受害者上當的話輸入的內容會立即被送到攻擊者的伺服器,使攻擊者能完全存取受害者的加密財產。
從App Store之外側載
這次活動的重要部份涉及安裝惡意程式到受害者的iPhone,並且繞過App Store和它的核實程序,執行方式與SparkKitty iOS盜竊工具,攻擊者成功存取Apple Developer Enterprise Program,每年只需299美元,在通過面試和企業驗證後,便可發佈自己的設定文件和應用程式,讓用戶直接下載到裝置上,而無需把它發佈到App Store。一般而言這種情況讓公司把內部應用程式部署到員工的裝置內,這些應用程式無需在App Store上架,沒有任何安裝裝置的上限,不過這功能經常被濫用,用來發佈線上賭場、盜版修改和惡意程式。
經macOS應用程式和擴充插件盜竊加密貨幣
不少加密貨幣持有者選擇在電腦上管理他們的錢包,而且經常選擇Mac這個平台,所以不難想像macOS成為竊匪的對像,而近期新的策略是除了盜竊儲存的資料,攻擊者把釣魚的內容內嵌到受害者電腦上已安裝的合法錢包應用程式,在年初具備這功能的MacSync便透過ClickFix攻擊入侵電腦,用戶在搜尋軟件時被誘騙到假網站,誘導用戶在Terminal中執行指令,其實是執行資料盜竊工具,收集密碼、Chrome內儲存的cookie、常見通訊程式的對話、瀏覽器為基礎的加密錢包擴充插件資料。
如果受害者已經安裝合法的Trezor或Ledger應用程式,盜竊工具會下載額外的模組,用木馬程式碼取代應用程式的部份,惡意程式會在完成這些「修復」後重新簽署,macOS內置保護機制Gatekeeper容許應用程式執行而無需用戶的額外權限請求,雖然並非一定有效,但對於盛行的Electron框架的簡單應用程式就十分有效。當打開木馬應用程式,它會偽造錯誤並啟動「復原程序」,指示用戶輸入錢包的seed phrase。
保護自己的加密財產安全
由於很多加密貨幣持有者使用macOS和iOS,將來更多針對這些平台的攻擊實在無可避免,用戶應該會學會保護自己的加密財產。
- 只從信任的資源下載應用程式,包括開發者的官方網站或App Store,由於惡意程式可能潛入後者,謹記核實發行者。
- 查看應用程式的評分、發佈日期和下載數量。
- 閱讀評論,尤其負面評論,看最新的版本以避免誤信攻擊者在開始時期,以無害應用程式騙取平分的評語。
- 永不複制和貼上指令到terminal,除非100%肯定它的功用,這種方法近年深受攻擊者喜愛。
- 在電腦和智能手機使用可靠的保安方案
- 永不輸入seed phrase到硬體錢包應用程式、網站或聊天,無論是換新錢包、重裝應用程式或復原錢包,seed phrase應該只輸入到硬體裝置本身。
- 經常查看硬體錢包螢幕的收件者地址,以防止偷龍轉鳳。
- 把seed phrase儲存到最安任的地方
資料來源:Kaspersky Blog
