ESET ontdekt nieuwe, neppe cryptocurrency-apps in Google Play

Sliedrecht, 23 mei 2019 – ESET-onderzoekers hebben recentelijk een analyse afgerond van neppe cryptocurrencywallets die op Google Play verschenen op het moment dat bitcoin een nieuwe piek in waarde bereikte. Afgelopen maand zijn bitcoin en de populariteit ervan erg gegroeid: de laatste keer dat de waarde zo hoog lag was in september 2018. Zoals te verwachten was, waren cybercriminelen er snel bij en benutten ze deze kans om cryptocurrencygebruikers nog gerichter aan te vallen met een variatie aan scams en kwaadaardige apps. Zo doet één app zich voor als de populaire hardware-cryptocurrencywallet Trezor. De vervalste app was verbonden aan een neppe cryptocurrencywallet-app met de naam ‘Coin Wallet – Bitcoin, Riplle, Ethereum, Thether’, die ertoe in staat is onbedachtzame gebruikers te scammen.

“We zijn nog niet eerder malware tegengekomen die Trezors branding misbruikt en waren daarom nieuwsgierig naar de capaciteiten van zo’n nep-app. De hardwarewallets die Trezor biedt vereisen immers fysieke manipulatie en authenticatie via PIN – of kennis van de zogenoemde recovery seed – om toegang te verkrijgen tot opgeslagen cryptocurrency,” legt Lukáš Štefanko, ESET-onderzoeker en hoofd van dit onderzoek, uit.

De app die zich voordeed als een mobiele wallet voor Trezor werd op 1 mei 2019 in Google Play geüpload met de naam ‘Trezor Inc.’ De pagina van de app zag er op het eerste gezicht betrouwbaar uit. Ten tijde van onze analyse was de nep-app zelfs het tweede meest populaire resultaat in Google Play wanneer er naar “Trezor” werd gezocht; op de eerste plaats stond de officiële app van Trezor.

Tijdens de analyse van deze neppe app heeft ESET ontdekt dat de app, dankzij meerlaagse beveiliging van Trezor zelf, geen daadwerkelijke schade kan berokkenen aan de cryptosavings van Trezor-gebruikers. Wel wordt de neppe app gebruikt om te phishen naar inloggegevens. “De app claimt dat gebruikers er wallets voor verscheidene cryptocurrencies mee kunnen aanmaken. Het daadwerkelijke doel van de app is echter het bedriegen van zijn gebruikers zodat ze cryptocurrency overmaken naar de wallets van aanvallers,”zegt Štefanko. Een klassiek geval van wat we in eerder onderzoek naar cryptocurrencygerichte malware ‘wallet address scams’ hebben genoemd.”

De server die wordt gebruikt om inloggegevens te verzamelen van de neppe Trezor-app wordt gehost op coinwalletinc.com. Dit domein leidde ons naar een andere frauderende app met de naam ‘Coin Wallet’, die mogelijkheid heeft om onbedachtzame gebruikers te scammen en zo geld afhandig te maken.. Deze twee apps hebben overlap in code en interface. De website linkt ook naar Google Play, waar Coin Wallet sinds februari 2019 beschikbaar was. “Beide apps zijn gecreëerd op basis van een app-template dat online wordt verkocht,” voegt Štefanko toe.

Tot slot deelt Štefanko tips voor veilig gebruik van cryptocurrencies online:

• Vertrouw alleen financiële apps of apps gerelateerd aan cryptocurrency als ernaar wordt gelinkt vanaf de officiële website van het bedrijf of merk.
• Vul alleen online formulieren met gevoelige informatie in als je zeker bent van hun beveiliging en betrouwbaarheid.
• Houd je apparaat up-to-date.
• Gebruik een respectabele securityoplossing voor mobiele apparaten om dreigingen te blokkeren en verwijderen.

We hebben de neppe Trezor-app aan het securityteam van Google gerapporteerd en hebben Trezor geïnformeerd over de publicatie van dit persbericht. Trezor heeft bevestigd dat de nep-app geen directe dreiging vormde voor zijn gebruikers. Ze waren echter wel bezorgd om de e-mailadressen die via nep-apps worden verzameld omdat deze in toekomstige phishingcampagnes gebruikt kunnen worden. Op het moment van publicatie, zijn zowel de neppe Trezor-app als de Coin Wallet-app niet meer beschikbaar in Google Play.

Ook in Nederland wordt de populariteit van bitcoin misbruikt door cybercriminelen: zo zijn er op social media tal van neppe advertenties die zich als Bekende Nederlanders, zoals Alexander Klöpping (oprichter en CEO van Blendle), voordoen. Klöppings naam wordt zo vaak misbruikt dat hij zelfs zijn Twitternaam heeft aangepast naar Alexander *BITCOIN ADS ZIJN NEP* Klöpping. Kortom, voorzichtigheid op gebied van cryptocurrency en bitcoins en mogelijke nepadvertenties daarvoor is geboden – ook in eigen land.

Over ons

Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend