Play 商店发现 20 多个窃取助记词的加密钓鱼应用程序

关键要点

• 已发现超过 20 个恶意应用程序积极针对加密钱包用户。

• 这些应用程序模仿了 SushiSwap、PancakeSwap、Hyperliquid 和 Raydium 等流行的钱包。

• 他们提示用户输入 12 个单词的助记词来访问欺诈性钱包界面。

• 这些应用程序通过被盗用或被重新利用的开发者账户通过 Play Store 分发。

• 威胁行为者采用一组常见的技术：在隐私政策中嵌入网络钓鱼 URL、重复使用包命名模式以及利用框架进行快速部署。

概述

Cyble 研究与情报实验室 (CRIL) 在 Google Play 商店中发现了 20 多个加密货币钓鱼应用程序。这些恶意应用程序冒充 SushiSwap、PancakeSwap、Hyperliquid 等合法钱包。它们使用钓鱼技术窃取用户的助记词，然后利用这些助记词访问真实钱包并盗取加密货币资金。  

最近几周，这些应用陆续被发现，反映出我们正在持续开展积极的行动。发现后，CRIL 立即向 Google 报告了这些应用，导致其中大部分应用从 Play 商店下架。然而，截至本文发布时，仍有少数应用仍在 Google 平台上线，并已被报告下架。

图 1 – 冒充 Hyperliquid 钱包的恶意应用程序

图 2 – 冒充 SushiSwap 钱包的恶意应用程序

我们观察到恶意应用程序使用合法钱包的图标来诱骗受害者信任它们，这些图标如下所示：

图 3 – 恶意应用程序使用的合法钱包图标

我们还观察到这些恶意应用程序表现出一致的模式，例如在其隐私政策中嵌入命令与控制 (C&C) URL，并使用相似的软件包名称和描述。尽管存在这些相似之处，但这些应用程序却是通过不同的开发者账户发布的。

这些账户最初用于分发合法应用，包括游戏、视频下载器和直播应用，其中一些账户的下载量已超过10万次。这种行为表明，这些较旧的开发者账户可能已被入侵，目前正被用于分发恶意应用。

图 4 – 之前托管游戏应用程序的开发者帐户现在正在分发恶意钓鱼应用程序

我们在 Play Store 上发现的窃取加密钱包应用程序助记词的恶意应用程序有：

除了 20 个共享类似隐私政策并利用 Median 框架的应用程序外，我们还发现了两个使用不同软件包名称和隐私政策的应用程序。尽管存在这些差异，但它们的根本目的始终如一：窃取用户的助记词。

以下部分介绍这些恶意应用程序的技术细节。

技术细节

类型 1：使用中位数框架

我们观察到一个威胁行为者利用 Median 框架开发 Android 应用程序。该框架能够快速将网站转换为 Android 应用。分析配置文件后，我们发现所使用的 URL 为“hxxps://pancakefentfloyd[.]cz/api.php”，该 URL 与该应用程序的隐私政策 URL 一致。

图 5 – 包含钓鱼 URL 的应用程序配置文件

此 URL 指向一个专门用于窃取助记词的钓鱼网站，该网站加载于应用程序的 WebView 中。在本例中，该钓鱼网站会冒充合法的“PancakeSwap”钱包，并提示受害者输入 12 个单词的助记词才能访问其钱包。

图 6 – Pancake Swap 钓鱼页面加载到 Webview 中

类型二：将钓鱼URL加载到Webview中

在第二种类型的恶意应用程序中，威胁行为者直接将钓鱼网站加载到 WebView 中，而无需使用任何开发框架。该恶意软件会在 WebView 中打开 URL “hxxps://piwalletblog[.]blog”，冒充合法的 Raydium 钱包。与之前观察到的应用程序类似，此恶意应用程序也会提示用户输入 12 个单词的助记词。

图 7 – 将钓鱼 URL 加载到 WebView 中

图 8 – 钓鱼网站冒充 Raydium 钱包并要求输入助记词

其中一个观察到的恶意应用程序使用的钓鱼 URL “hxxps://pancakefentfloyd[.]cz”托管在 IP 地址 94.156.177[.]209 上。对该基础设施进行深入调查后发现，该 IP 与 50 多个钓鱼域名相关联，所有这些域名都与一项更广泛的活动有关，该活动旨在窃取各种加密货币钱包用户的助记词。

图 9 – 托管多个钓鱼域名的 IP

这些域名冒充知名的加密服务，旨在通过 WebView 直接在移动应用程序中加载，这增加了检测难度。威胁行为者似乎在多个虚假应用程序和钱包品牌中重复使用了这一基础设施，表明其行动是集中式且协调一致的。

结论

此次攻击活动突显了针对加密货币钱包快速增长用户群的精心策划的网络钓鱼行动。攻击者通过 Google Play 商店分发 20 多个假冒 Android 应用程序，冒充 PancakeSwap、SushiSwap、Raydium 等合法钱包，窃取用户的助记词——访问其数字资产的关键密钥。

此次攻击活动尤其危险，在于其使用了看似合法的应用程序，这些应用程序托管在之前无害或已被入侵的开发者账户下，并结合了与 50 多个域名关联的大规模网络钓鱼基础设施。这不仅扩大了攻击活动的覆盖范围，也降低了传统防御系统立即发现的可能性。

这些攻击一旦得逞，可能给受害者造成不可挽回的财务损失，尤其考虑到加密货币交易不像传统银行交易那样容易逆转或得到安全保障。随着加密生态系统的不断扩张，用户必须保持警惕，生态系统利益相关者（包括应用商店、安全供应商和开发者）必须采取主动措施，迅速识别、拦截并报告此类威胁。

我们的建议

我们概述了重要的网络安全最佳实践，这些最佳实践是抵御攻击者的第一道防线。我们建议读者遵循以下最佳实践：

• 仅下载来自经过验证的开发者的应用。查看应用评论，避免使用那些要求输入敏感信息（例如助记词）的应用。

• 在您的连接设备（包括 PC、笔记本电脑和移动设备）上使用信誉良好的防病毒和互联网安全软件包。

• 尽可能创建强密码并实施多因素身份验证。

• 在适用的情况下，启用生物识别安全功能（例如指纹或面部识别）来解锁您的移动设备。

• 请谨慎打开通过手机短信或电子邮件收到的任何链接。

• 确保 Android 设备上已启用 Google Play Protect。