10月22, 2021

预警:警惕黑客借“提币潮”牟利

一、 概况

近年来,比特币等虚拟货币交易炒作活动盛行,扰乱经济金融秩序,滋生洗钱、非法集资、诈骗、传销等违法犯罪活动,严重危害人民群众财产安全。9月24日,人民银行等十部门发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》,通知指出虚拟货币兑换、为虚拟货币交易提供撮合服务等虚拟货币相关业务全部属于非法金融活动。

虚拟货币钱包就是用来存储、管理、交易虚拟数字货币的工具。虚拟货币钱包用户在我国的地域分布呈现东部多西部少的特点。随着通知的下发,我国移动端虚拟货币钱包的整体用户数量有了明显的下降。

虚拟货币钱包在货币交易过程中扮演着极其重要的角色,因此针对虚拟货币用户的移动端攻击往往会选择货币钱包作为攻击面,通过伪装成虚拟货币钱包应用实施转账欺诈、替换剪贴板、盗取转账凭据、窃取用户隐私信息等危险行为。

二、 国内环境下虚拟货币钱包使用情况

通过统计分析近一个月5款知名虚拟货币钱包应用在国内的安装情况,我们按照省份划分绘制了热力分布图以及整理出了用户量TOP10的省份。通过分布图可以看出,虚拟货币钱包用户主要分布在我国的东部、中部以及沿海地区,其中,用户最多的省份是广东省,山东省和浙江省的安装量近乎相同,分别排名第二和第三。

image.png

图1 钱包用户省份分布

image.png

图2 用户量TOP10省份

9月24日,人民银行等十部门发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》,该通知明确指出为虚拟货币提供交易的行为属于非法金融活动。通知下发后,经过一周的用户调整期,钱包应用的国内用户数量开始出现了断崖式下降,并维持在了较低的水平,可见国家整治虚拟货币的力度和成果。

image.png

图3 “通知”下发前后钱包用户数量变化

三、 仿冒的虚拟货币钱包

随着“通知”的下发,相关企业开始主动调整业务并逐步关闭国内交易平台,国内用户也将越来越难下载到虚拟货币钱包应用,这就为那些恶意软件作者创造了机会,他们通过仿冒的虚拟货币钱包应用对钱包用户进行恶意攻击。

仿冒的虚拟货币钱包通常使用与官方应用相同或相似的图标和名称,有的甚至制造钓鱼网站,让用户误以为是官方正版渠道,然后通过各种社会工程手段引诱目标用户下载安装,进而实施各种恶意活动。

欺诈行为

存在欺诈行为的仿冒钱包主要是在用户进行虚拟货币交易过程中将任何交易的收款钱包地址设置为攻击者的钱包地址,由于虚拟货币交易不受法律保护,因此一旦错误转入到攻击者钱包,很难再追溯回来。

我们通过创建两个不同的账户登录存在欺诈行为的同一款钱包应用,最终这两个不同的账户呈现的钱包地址却是同一个。如果用户将资金存入该地址,则直接转入到了攻击者的钱包中。

image.png

图4 不同账户的钱包地址

替换剪贴板

在2018年我们发布的《剪贴板幽灵:币圈的神偷圣手》报告中,我们就曾提到过使用剪贴板攻击加密数字货币交易的木马。此类窃取加密数字货币的木马运用了剪贴板劫持技术,以替换钱包地址的方式达到窃取加密数字货币的目的。2019年,安全研究人员又在Google Play商店中发现了此类木马,木马伪装成MetaMask加密货币钱包,攻击MetaMask 的用户。

image.png

图5 替换剪贴板的代码

窃取各类凭据

与前两种危害类型相比,通过钓鱼页面窃取登录凭据、钱包私钥和助记词等的危害对用户造成的损失更大,这意味着用户失去了对账户的控制权。这类木马通常使用定制的钓鱼页面,诱导用户输入登录信息、私钥等,用户点击登陆后,这些重要信息便会发送到攻击者服务器。

image.png

图6 窃取登录凭据

image.png

图7 窃取钱包地址和私钥

实施间谍活动

目前为止在各种安全报告中,关于Android木马伪装成虚拟货币钱包的事件主要集中在以盗取资金获取经济利益为目的的攻击上,很少出现以间谍为目的的攻击活动。在我们追踪某间谍家族的时候,发现该家族样本会伪装成虚拟货币钱包应用,对目标实施间谍活动。

该间谍木马伪装成Trusted Wallet钱包,使用仿冒官网的钓鱼网站进行传播,钓鱼网站相比官网多了Windows和Mac两个平台的下载链接。该间谍软件具有窃取用户短信、联系人、通话记录、账户信息,录音,截屏等常用间谍功能。

image.png

图8 Trusted Wallet钱包钓鱼网站

image.png

图9 Trusted Wallet钱包官网

image.png

图10 实现间谍功能的类

四、 总结

随着虚拟货币交易平台在国内的逐步关停,势必会出现一波“提币潮”,在此提醒虚拟货币钱包用户,在提币时要时刻警惕仿冒的钱包应用。

虚拟货币钱包不仅仅是攻击者用来对虚拟货币用户进行攻击的载体,而且使用虚拟货币钱包进行虚拟货币交易扰乱国家经济金融秩序,滋生犯罪,对个人对国家都存在严重的安全隐患。国家下发的相关通知取得了明显的效果,进行虚拟货币交易用户得到了明显遏制,我们仍会持续关注我国的虚拟货币钱包应用情况。

五、 参考链接

【1】 http://m.safe.gov.cn/safe/2021/0924/19911.html

【2】 http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/4348556/index.html

【3】 https://blogs.360.cn/post/analysis_of_Clipper.html

【4】 https://www.welivesecurity.com/2018/02/28/cryptocurrency-scams-android/

【5】 https://gbhackers.com/fake-cryptocurrency-wallets-app-google-play/

【6】 https://www.welivesecurity.com/2019/02/08/first-clipper-malware-google-play/

【7】 https://www.welivesecurity.com/2017/10/23/fake-cryptocurrency-apps-google-harvesting-credentials/

本文链接:https://blogs.360.cn/post/analysis_of_fake_cryptocurrency_wallets.html

-- EOF --

Comments