Mint az Ars Technika a kutatók nyomán kifejti: a kriptopénztárcák tulajdonosai gyakran kapnak olyan szóláncokat („mnemonic”), melyekkel helyreállíthatják a profiljukat abban az esetben, ha valamilyen okból kizárták őket. Jellemzően 12–24 szóból álló kifejezésekről van szó, melyekről a felhasználók gyakran készítenek képernyőképet.

Utóbbi jelenti a problémát: a csalárd alkalmazások ezekre az értékes képernyőképekre vadásznak azáltal, hogy igyekeznek hozzáférést szerezni az eszközökön lévő fotókhoz. Így már csak ki kell keresniük a megfelelő képet.

A McAfee szakemberei rámutatnak: a kártékony appok banki, kormányzati és segédprogramoknak, vagy épp valamilyen streamingszolgáltatásnak álcázzák magukat. A rosszindulatú felek adathalász módszerekkel terjesztik az appokat, például a közösségi médiában terjesztett üzenetek révén – ezekben olyan hivatkozások vannak, melyek legitimnek tűnő weboldalakra vezetnek. Ezeken az oldalakon igyekeznek rávenni a célpontot arra, hogy telepítsen egy – természetesen kártevővel fertőzött – alkalmazást.

Telepítést követően egy sor dologhoz kér hozzáférést a fertőzött app, de a háttérben történő futást is kérvényezi, ami már önmagában figyelmeztető jel lehet. A következő dolgokat lopja el az app a megfelelő engedélyek birtokában:

• Kontaktok: viszi mindet, ezeket felhasználva pedig tovább tudják terjeszteni a kártevőt a támadók;
• SMS-ek: minden kimenő és bejövő üzenetet lát, ami jól jöhet például a kétlépcsős hitelesítéshez kapott kódok megszerzéséhez;
• Fotók: itt sem válogatós, a készüléken tárolt valamennyi képet feltölti a támadó szerverére;
• Eszközadatok: az adott készüléken futó operációsrendszer-verzió mellett a telefonszámot is megszerzi, amivel tovább finomítható a támadás.

Az Ars Technika megjegyzi: a támadási mód egyik legérdekesebb szelete, hogy a támadók optikai karakterfelismerést alkalmaznak az ellopott képeken lévő szövegek azonosítására, megkeresve a vélhetően kriptovaluta-pénztárcák feloldására használható szavakat. A szoftver rögtön szöveggé is tudja formálni, amit talált.

A fertőzött appok listáját nem tette közzé a McAfee, de nincs arra utaló jel, hogy bármelyik bekerült volna Play Áruház kínálatába – tehát minden valószínűség szerint csak külső forrásból, APK fájlból lehetett telepíteni őket. Ha teheti, soha ne installáljon így alkalmazásokat a telefonjára, mert egy ismeretlen forrásból beszerzett applikáció komoly, akár pénzügyi kárt is okozhat önnek. Mindig a Play Áruházat használja, azon belül is érdemes a megbízható, ismert fejlesztők alkalmazásaira támaszkodni.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.