Analytici společnosti ESET zachytili v obchodě Google Play první malware pro Android, který dokáže zaměnit text zkopírovaný do schránky. Útočníci se pomocí tohoto malwaru zaměřují konkrétně na Bitcoin a Ethereum. Úpravou zkopírovaného textu takto dokáží změnit adresu peněženky oběti na adresu peněženky útočníka. Malware, který umožňuje tento druh manipulace, se označuje jako clipper.

TOP Bitcoin Lightning Network aplikace současnosti

Lukáš Štefanko, analytik malware ve společnosti ESET, uvedl:

„S clippery jsme se dříve setkávali na osobních počítačích s operačním systémem Windows a na neoficiálních fórech pro uživatele mobilní platformy Android. Běžný uživatel mobilního zařízení se tak s hrozbou nesetkal. Nyní se ale situace změnila, a pokud uživatelé provádí transakce s kryptoměnami ve svém chytrém telefonu či tabletu s operačním systémem Android, měli by být obezřetní před tímto konkrétním druhem podvodu.“

Pod názvem clipper se v kyberbezpečnosti ukrývá druh škodlivého kódu, který umí změnit obsah textu zkopírovaného ve schránce. Poprvé se objevil v roce 2017 a zaměřoval se na osobní počítače s Windows. K velkému boomu těchto aplikací došlo v loňském roce, kdy se dokonce objevila na jednom internetovém fóru k prodeji clipper aplikaci pro Android. Nedlouho poté byl malware zaznamenán v několika neoficiálních obchodech s aplikacemi. Běžní uživatelé, kteří používají aplikace stažené z Google Play Store, se tak s hrozbou nemohli setkat. Až začátkem února, kdy analytici ze společnosti ESET detekovali malware s označením Android/Clipper.C přímo v obchodě Play. To znamená, že škodlivý kód musel projít přes bezpečnostní filtry Googlu.

Útočníci se svým malwarem cílí na uživatele kryptoměn, především Bitcoinu a Ethereum. Využívají přitom předpokladu, že málokdo zadává číslo své peněženky ručně, místo toho využívají možnosti zkopírování textu do schránky. Není se čemu divit, dlouhý řetězec písmen a číslic si nezvládne zapamatovat snad nikdo. Proto si ani většina uživatelů nemusí všimnout, že do políčka vloží jinou adresu, než kterou zkopírovali. Clipper zamění původní adresu peněženky za jinou, která patří útočníkovi. A oběť nevědomky pošle peníze na jinou adresu. Není zase takovým překvapením, že se útočníci zaměřili právě na kryptoměny. Pokud by bylo pozměněno číslo běžného bankovního účtu, uživatel by si toho mohl při vkládání všimnout.

Falešná telefonní aplikace MetaMask

První clipper nalezený v Google Play Store se vydával za legitimní službu MetaMask, která umožňuje spustit decentralizované aplikace pro Ethereum v prohlížeči, aniž by bylo nutné spustit celý Ethereum node. MetaMask funguje ve formě doplňku pro internetové prohlížeče Chrome nebo Firefox, ale svou oficiální mobilní aplikaci zatím nemá. A právě toho využili útočníci, aby zmátli své oběti. Falešnou aplikaci MetaMask sice už v Google Play Store nenajdeme, neboť byla odstraněna na podnět společnosti ESET, ale podobný malware se může klidně objevit znovu, třeba v ještě rafinovanější podobě.

Nezbývá než varovat uživatele, aby si při kopírování adres kryptoměnových peněženek dávali pozor, zda je vložený řetězec znaků správný.

7 nejčastějších kryptopodvodů a jak se jim vyhnout