В магазине приложений для устройств на базе Android Google Play обнаружена программа для кражи криптовалют. Скрипт программы автоматически заменял адреса кошельков в буфере обмена устройства на адреса хакеров.

Первым об угрозе сообщил исследователь вредоносного ПО Лукаш Штефанко (Lukáš Štefanko); приложение было удалено вскоре после появления в магазине. Программа имитировала сервис для браузерного запуска приложений, работающих с ETH, MetaMask. Вирус-клиппер получал доступ к данным владельцев Ethereum-кошельков и перенаправлял платежи, подменяя адреса. В результате пользователи пополняли кошельки хакеров вместо предполагаемых Bitcoin- и Ethereum-адресов. Похожим образом действовал ботнет Satori, подключающийся к ПК с работающими майнерами.

Как утверждает Штефанко, до этого подобные программы можно было найти на сторонних ресурсах, но не на официальном маркетплейсе для Android. Часто под видом MetaMask в Google Play появляются фишинговые приложения, использующие личные данные пользователей для получения доступа к их криптовалютным вложениям. Исследователь напомнил о том, что MetaMask — это расширение для браузеров, и самостоятельного мобильного приложения у него нет.

В ноябре Штефанко обнаружил четыре фальшивых мобильных кошелька для криптовалют. Одно из них также выдавалось разработчиками за MetaMask.