|
出于安全原因,在线加密货币钱包的地址由长字符串组成。用户倾向于使用剪贴板复制并粘贴地址,而非一一键入。一种被称为“剪贴板(clipper)”的恶意软件利用的正是这一点。它会拦截剪贴板中的内容,并将其秘密替换为攻击者想要破坏的内容。对于加密货币交易,受影响的用户复制的钱包地址可能会被偷偷换成属于攻击者的地址。
这种危险的恶意软件最初在2017年发现于Windows平台上,2018年夏天发现于安卓应用商店中。现在,研究人员在官方安卓应用商店谷歌商店上也发现了这一新的恶意软件。
虽然发现的时间不长,但通过篡改剪贴版内容来窃取加密货币的恶意软件其实已经存在很久了。ESET的研究人员在download.cnet.com(全球最出名的软件托管站点之一)上发现了一个托管站点。2018年8月,首次发现剪贴板恶意软件在地下黑客论坛上出售,自那之后,这一恶意软件又在几个可疑的应用商店中被检测到。
复制与窃取ESET安全解决方案检测到的剪贴板恶意软件被命名为Android/Clipper.C,它会冒充MetaMask的合法服务。恶意软件的主要目的是窃取受害者的凭证和私钥,从而控制对受害者Ethereum资金。不过,它也能将复制到剪贴板的比特币或Ethereum钱包地址替换为攻击者的地址。
图1. Android/Clipper.C在谷歌商店中冒充MetaMask
此外,Android/Clipper.C于2019年2月1日首次在谷歌商店中被发现之后,我们向谷歌商店安全团队进行了报告,他们后来将该应用下架了。
这种攻击针对的是想要使用移动版MetaMask服务的用户,该服务能够在浏览器中运行Ethereum的去中心化应用,而无需运行完整的Ethereum节点。然而,该服务目前还没有移动应用,只有适用于Chrome和Firefox等桌面浏览器的插件。
早前发现于谷歌商店中的几个恶意应用程序会模仿MetaMask。但它们的目的仅仅是为获取受害者的加密货币资金而搜索敏感信息。
安全小贴士谷歌商店中首次出现的剪贴板恶意软件再次提醒了安卓用户需要坚持采取最佳的移动安全措施。
为避免遭到剪贴板及其他安卓恶意软件的攻击,我们建议:
入侵威胁指标 (IoCs| 数据包名称 | 哈希值 | | com.lemon.metamask | 24D7783AAF34884677A601D487473F88 | BTC地址: 17M66AG2uQ5YZLFEMKGpzbzh4F1EsFWkmA
ETH地址: 0xfbbb2EF692B5101f16d3632f836461904C761965 |
| 
发表于 2019-4-10 18:04:17
