Poloniex попала под атаку хакеров
Атака была осуществлена через два мобильных приложения, размещенных в Google Play. Оба вредоносных приложения предназначались для кражи аккаунтов клиентов Poloniex, а также привязанные адреса электронной почты.
Криптобиржа Poloniex является одной из ведущих мировых бирж, на которой предоставлена возможность для торговли с более чем 100 различными криптовалютами. Такая популярность не могли пройти мимо внимания мошенников. В данном случае для реализации своей атаки они воспользовались тем, что у криптобиржи отсутствовало официальное мобильное приложение. Не зная этого, клиенты криптобиржи скачивали с магазина приложений Google Play приложение для Poloniex, которое считали легитимным, хотя именно через него происходило распространение вредоносной программы.
Сначала программа-вирус проникла в Google Play под названием POLONIEX от одноименного разработчика. За период с 28 августа по 19 сентября, как выяснили эксперты антивирусной компании ESET, его установили около 5,000 пользователей. Их не смущало даже то, что в комментариях к устанавливаемому приложению содержались противоречивые оценки, имелись негативные отзывы. Обычно компании, ведущие легальный бизнес, трепетно относятся к подобного рода негативным моментам и стараются не только исправлять ошибки, но также держать руку на пульсе и информировать своих пользователях о перспективах намеченных работ. Мошенники обычно воздерживаются от контакта с клиентами атакуемых компаний. Отсутствие обратной связи могло быть прямым поводом для беспокойства пользователей, однако большинство из них не обратили на это внимание.
Позднее, 15 октября, в Google Play появилось другое приложение — POLONIEX EXCHANGE от компании POLONIEX COMPANY. Оно было установлено 500 раз. После предупреждений ESET, с которыми антивирусная компания обратилась к Google, программы-подделки были удалены.
Оба вредоносных приложения предназначались для кражи аккаунтов клиентов криптобиржи Poloniex. Для получения доступа к учетной записи клиентов, мошенники хотели получить логины и пароли от биржи, а также адреса электронной почты, привязанной к «биржевому» аккаунту.
Чтобы поддельное приложение не вызывало подозрений со стороны пользователя, сразу после запуска на экране появлялась фальшивая форма ввода логина и пароля Poloniex. Введенные данные сразу попадали в руки злоумышленников.
При отсутствии контроля со стороны жертвы в виде двухфакторной аутентификации, которую предоставляла Poloniex, атакующие сразу получали доступ к аккаунту, могли самостоятельно выполнять транзакции и менять настройки, включая пароль.
Перехватив логин и пароль от Poloniex, злоумышленники пытались получить также доступ к почтовому аккаунту пользователя в Gmail. Для этого на экран его устройства выводилось еще одно окно, в котором им предлагалось войти в Gmail для «проверки безопасности». Получив доступ к аккаунту Poloniex и связанному аккаунту электронной почты, атакующие уже могли проводить операции со счетом и удалять любые уведомления из входящих сообщений.
Наконец, чтобы исключить окончательно любые подозрения со стороны клиентов, для обеспечения видимости нормальной работы приложение переадресовывало на мобильную версию легитимного сайта Poloniex.
