SeaFlower ruba le criptovalute dai wallet mobile

I ricercatori di sicurezza di Confiant hanno scoperto una campagna malware su larga scala che prende di mira gli utenti web3. Le attività di SeaFlower sono state scoperte a marzo e rappresentano un pericolo piuttosto alto, in quanto i cybercriminali (quasi certamente cinesi) sfruttano la notorietà dei note aziende, tra cui Coinbase, per rubare le criptovalute dai wallet mobile. Per non correre rischi è sempre consigliato l’uso di un antivirus che blocca eventuali attacchi informatici.

Backdoor in app fasulle

I principali bersagli di SeaFlower sono le app Coinbase, MetaMask, TokenPocket e imToken. Gli utenti che scaricano le app dagli store ufficiali (Android e iOS) sono al sicuro, ma i cybercriminali usano vari metodi per attirare le vittime in trappola. Vengono ad esempio aperti siti simili agli originali, tramite i quali avviene la distribuzione delle app con backdoor. Questi siti fasulli possono essere mostrati nei primi posti dei risultati delle ricerche, grazie a tecniche black SEO. Le app vengono anche pubblicizzate sui social media.

Il codice della backdoor nascosto nell’app fake di MetaMask si attiva quando viene generata la “seed phrase” e prima che venga memorizzata in forma cifrata. Quindi i cybercriminali intercettano la seed phrase, quando viene creato un nuovo wallet o aggiunto un wallet esistente all’app.

Prima di scaricare un’app che sembra legittima è meglio controllare l’indirizzo del sito. Gli utenti devono scaricare le app solo dagli store di Apple e Google. La backdoor può essere rilevata dalle soluzioni di sicurezza più avanzate, tra cui Avast Premium Security.