На первый взгляд «безобидное» приложение для отслеживания курсов криптовалют CoinTicker развивает бурную активность в фоновом режиме.

Как сообщила в своем блоге компания кибербезопасности Malwarebytes, на минувших выходных посетитель их форума под ником 1vladimir обнаружил подозрительную активность приложения CoinTicker. По ряду признаков эксперты компании заключили, что приложение скрытно установило целых два «бэкдора» – лазейки, которые позволяют получить доступ к вашему компьютеру, воровать данные, выполнять некоторые команды, в том числе вести и отправлять логи нажатия клавиш.

На первый взгляд программа CoinTicker похоже на абсолютно законопослушное приложение, потенциально полезное для тех, кто имеет криптовалютные сбережения. После загрузки приложение отображает значок в строке меню с актуальной информацией по курсу биткоина. Согласно предпочтениям пользователя, можно также настраивать дисплей, отображая информацию о более широком спектре криптовалют, включая Ethereum и Monero.

Однако на самом деле «безобидное» приложение развивает бурную активность в фоновом режиме – без ведома пользователя и без каких-либо внешних признаков проблем вроде дополнительных запросов на аутентификацию. Как обнаружили исследователи Malwarebytes, при запуске CoinTicker загружает и устанавливает также компоненты двух разных бэкдоров с открытым исходным кодом: EvilOSX и EggShell.

Специалистам по кибербезопасности удалось отследить деятельность приложения – от создания оболочки для загрузки бэкдоров до создания папки с предположительно рэндомным именем в корневом каталоге пользователя – прежде чем оно неожиданно перестало функционировать.

Хотя доподлинно неизвестно, какую цель преследовал хакер, стоящий за этим вредоносным ПО, его распространение через криптовалютное приложение позволяет предположить, что оно предназначено для доступа к кошелькам пользователей для последующей кражи монет. Так считает директор Malwarebytes по Mac- и мобильным устройствам Томас Рид.


Источник: blockchain.ru