大型移动APT曝光，通过伪造数字货币钱包APP窃取加密货币

最近的网络安全研究发现，一个复杂的恶意行为的神秘面纱被揭开，该恶意行为活动主要针对中国用户，通过 Android 和 iOS 上的伪造的数字钱包服务来窃取加密货币资金的仿冒应用程序。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，这些恶意应用程序能够通过冒充 Coinbase、imToken、MetaMask、Trust Wallet、Bitpie、TokenPocket 或 OneKey 来窃取受害者的助记词。

这些钱包服务是通过一个由 40 多个假冒钱包网站组成的网络分发的，这些假冒钱包网站借助在合法的中国网站上发布的误导性文章以及通过 Telegram 和 Facebook 群组招募中介的方式进行推广，企图诱骗毫无戒心的访问者下载恶意应用程序。木马化的加密货币钱包应用程序的制作方式使其复制了与原始对应物相同的功能，同时还结合了恶意代码更改，从而能够盗窃加密货币资产。

这些恶意应用程序也对受害者构成了另一种威胁，因为其中一些使用不安全的 HTTP 连接向攻击者的服务器发送秘密的受害者助记词，这意味着受害者的资金不仅可能被该计划的运营商窃取，还可能被同一网络上窃听的不同攻击者窃取。

网络安全研究人员发现数十个群组在 Telegram 消息应用程序上宣传这些钱包应用程序的恶意副本，这些恶意副本又在至少 56 个 Facebook 群组上共享，希望为欺诈计划找到新的分销合作伙伴。

根据从这些组织获得的信息，分发这种恶意软件的人可以获得钱包被盗内容的 50% 佣金。在一个独特的转折中，应用程序一旦安装，就会根据受感染移动设备的操作系统进行不同的配置。在 Android 上，这些应用程序针对尚未安装任何目标钱包应用程序的加密货币用户，而在 iOS 上，受害者可以同时安装这两个版本。

值得注意的是，假钱包应用程序并不直接在 iOS App Store 上提供。相反，它们只能通过使用配置文件访问恶意网站之一来下载，这些配置文件可以安装未经 Apple 验证的应用程序以及来自 App Store 外部来源的应用程序。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，在 Google Play 商店中发现了 13 个伪装成 Jaxx Liberty 钱包的流氓应用程序，自 2022 年 1 月起，所有这些应用程序均已从 Android 应用程序市场中删除，这些应用程序总共安装了 1100 多次。

由于该行动背后的威胁行为者通过社交媒体和消息应用程序积极招募合作伙伴，并向他们提供一定比例的被盗数字货币，这些攻击未来可能会蔓延到世界其他地区。