ESET ha scoperto sul Google Play Store un’app Android che veniva utilizzata per rubare criptovalute ad ignari utenti. Ciò avveniva attraverso la sostituzione dell’indirizzo del portafoglio digitale con quello del malintenzionato. Le monete finivano quindi nel wallet sbagliato.
Gli indirizzi dei portafogli digitali sono composti da una lunga sequenza di caratteri, per cui gli utenti sfruttano il copia&incolla invece di digitarli a mano. Il malware in questione, denominato Android/Clipper.C dalla software house, intercettava proprio il contenuto della clipboard (appunti) di Android. L’indirizzo dell’utente veniva quindi sostituito con quello del malintenzionato. Le criptovalute venivano così depositate nel portafoglio del ladro.
Il malware era nascosto nell’app MetaMask pubblicata sul Google Play Store il 1 febbraio. L’azienda di Mountain View ha subito rimosso l’app dopo aver ricevuto la segnalazione da ESET. MetaMask esiste realmente, essendo un servizio che permette di eseguire all’interno del browser app decentralizzate basate sulla blockchain di Ethereum, ma è disponibile solo tramite estensione per Chrome, Firefox e Opera.
Oltre ad intercettare l’indirizzo del portafoglio digitale copiato negli appunti di Android, l’app fasulla poteva anche rubare le credenziali e la chiave privata degli utenti per accedere ai fondi Ethereum. ESET consiglia di scaricare app pubblicate solo da sviluppatori che hanno un sito web, evitare il sideloading e installare un antivirus. La popolarità delle criptovalute, abbinata alla poca attenzione degli utenti, hanno portato all’aumento di questo tipo di minacce informatiche.