Confiant, agen keamanan periklanan, telah menemukan sekelompok aktivitas jahat yang melibatkan aplikasi dompet terdistribusi, yang memungkinkan peretas mencuri benih pribadi dan memperoleh dana pengguna melalui dompet penipu pintu belakang. Aplikasi didistribusikan melalui kloning situs yang sah, memberikan kesan bahwa pengguna sedang mengunduh aplikasi asli.
Cluster Berbahaya Menargetkan Dompet Berkemampuan Web3 Seperti Metamask
Peretas menjadi semakin kreatif saat merekayasa serangan untuk memanfaatkan pengguna cryptocurrency. Confiant, sebuah perusahaan yang didedikasikan untuk memeriksa kualitas iklan dan ancaman keamanan yang mungkin ditimbulkannya kepada pengguna internet, telah memperingatkan tentang jenis serangan baru yang memengaruhi pengguna dompet Web3 populer seperti Metamask dan Coinbase Wallet.
Cluster, yang diidentifikasi sebagai “Seaflower,” dikualifikasikan oleh Confiant sebagai salah satu serangan paling canggih dari jenisnya. Laporan tersebut menyatakan bahwa pengguna umum tidak dapat mendeteksi aplikasi ini, karena mereka hampir identik dengan aplikasi asli, tetapi memiliki basis kode berbeda yang memungkinkan peretas mencuri frase awal dompet, memberi mereka akses ke dana, untuk informasi kripto lebih lengkapnya di Dunia kripto.
Distribusi dan Rekomendasi
Laporan tersebut menemukan bahwa aplikasi ini didistribusikan sebagian besar di luar toko aplikasi biasa, melalui tautan yang ditemukan oleh pengguna di mesin pencari seperti Baidu. Penyelidik menyatakan bahwa cluster harus berasal dari Cina karena bahasa di mana komentar kode ditulis, dan elemen lain seperti lokasi infrastruktur dan layanan yang digunakan.
Tautan aplikasi ini menjangkau tempat-tempat populer di situs pencarian karena penanganan pengoptimalan SEO yang cerdas, memungkinkan mereka untuk berperingkat tinggi dan membodohi pengguna agar percaya bahwa mereka mengakses situs sebenarnya. Kecanggihan dalam aplikasi ini bermuara pada cara kode disembunyikan, mengaburkan sebagian besar cara kerja sistem ini.
Aplikasi backdoor mengirim frase benih ke lokasi terpencil pada saat yang sama sedang dibangun, dan ini adalah vektor serangan utama untuk penipu Metamask. Untuk dompet lainnya, Seaflower juga menggunakan vektor serangan yang sangat mirip.
Para ahli selanjutnya membuat serangkaian rekomendasi untuk menjaga keamanan dompet di perangkat. Aplikasi backdoor ini hanya didistribusikan di luar toko aplikasi, jadi Confiant menyarankan pengguna untuk selalu mencoba menginstal aplikasi ini dari toko resmi di Android dan iOS.