要点

  • 剪切恶意软件对加密货币用户构成的威胁依然活跃,这种恶意软件通过重新包装的 App 拦截包含加密货币地址的信息,并将其替换为犯罪分子的地址。 

  • 这种攻击的最新变种是通过热门通信 App(移动端和 PC 端)的逼真却假冒的版本进行传播。 

  • 币安安全团队正在全天候监控威胁,检测诈骗者的地址并将其列入黑名单,致力于提高公众安全意识,以助其防范这一威胁。 

我们最近探讨了剪切恶意软件在全球造成的持续威胁,这种威胁主要通过假冒和重新包装的 App(包括假冒的币安 App)瞄准移动端用户。这种威胁不仅依然存在,还随着时间的推移不断演变,最近已转变为一种新的传播模式,即在移动端和 PC 端出现的 Telegram 和 WhatsApp 等假冒通信 App。

在这篇后续博文中,我们旨在进一步教育并提醒用户注意剪切恶意软件不断演变的危险,并概述币安安全团队为保护我们的社区安全而采取的措施。

回顾:剪切恶意软件的性质和历史

剪切恶意软件是一种由网络犯罪分子编写的漏洞,用于拦截剪贴板数据(通常是加密货币钱包地址),其攻击原理为将复制的受害者钱包的地址替换为黑客控制的地址。如果不知情的用户在交易时粘贴这一受控地址,便会在无意中将资金发送到黑客的钱包中。

这种大规模的恶意软件攻击事件首次发生于 2019 年,当时一个假冒的 MetaMask App 被上传到 Google Play 商店,旨在窃取私钥并替换复制到剪贴板的加密货币地址。 

此后,剪切恶意软件不断演变,入侵加密货币交易平台和通信服务等其他 App。

最近数月以来,威胁的规模有所扩大,在多个地区,越来越多的用户成为受害者。不幸的是,这波攻击浪潮仍对加密货币社区构成威胁,尤其是因为网络犯罪分子不断拓宽其攻击向量,不仅通过假冒的加密货币交易平台 App,还借助 Telegram 和 WhatsApp 等重新包装的通信 App(移动端和台式电脑)发动攻击。

不断扩大的威胁:假冒和重新包装的 App

最初的攻击主要集中于币安 App 等假冒交易平台的 App,旨在窃取用户的加密货币。但我们现在发现了一个令人惶恐的新趋势,即假冒的 Telegram 和 WhatsApp 应用程序经攻击者重新包装,通过非官方渠道传播。这些假冒 App 在模仿合法应用程序功能的同时,在后台发动攻击。 

恶意软件 App 会扫描每条通信消息,以获取钱包地址,在将其替换为黑客的地址之后,会向用户显示被操控的信息​。 

WhatsApp(移动端)

Telegram(PC 端)

Telegram(移动端)

更令人担忧的是,这种攻击并不局限于移动设备。这些假冒 App 的 PC 版本同样危险,通常与远程访问木马 (RAT) 相捆绑,使攻击者能够完全控制受害者的系统。一旦入侵,这些 RAT 便可窃取钱包凭证等敏感信息,并在用户不知情的情况下转移资金​。

剪切恶意软件的工作原理

剪切恶意软件的攻击形式多种多样,但其核心机制均围绕一个关键点展开,即篡改剪贴板数据,以拦截加密货币交易,其在不同场景中的运作方式如下:

  1. 移动端 App(Telegram 和 WhatsApp)

    • 某用户从非官方网站下载了假冒的 Telegram 或 WhatsApp 应用程序。

    • 该 App 运行正常,但会监控并扫描所有通信消息,以获取钱包地址。

    • 一旦检测到加密货币钱包地址,恶意软件便会将其替换为黑客的地址,再向用户显示此通信消息。

    • 或者,恶意软件会在用户复制这些假冒 App 中显示的钱包地址时进行拦截,并在粘贴时更改地址。 

    • 用户在不知情的情况下将资金发送给黑客,而非指定的收款方​。

  2. PC 端 App

    • 同样,Telegram 和 WhatsApp 的假冒 PC 端 App 也随之传播,且通常与 RAT 相捆绑。

    • 一旦安装,RAT 会在后台静默运行,使黑客能够远程控制受害者的系统。

    • 该恶意软件可窃取钱包凭证,或直接修改交易,将资金转移至攻击者的钱包。

    • 即便受害者删除了假冒 App,RAT 仍可持续存在,继续构成威胁​。

目标:亚洲和中东地区易受攻击的用户

大部分剪切恶意软件的受害者来自中国和中东等尚未普及 Google Play 商店的地区。 

由于政府施加的限制,这些地区的用户通常会在第三方网站下载 App,从而特别容易下载到假冒、重新包装的 App。例如,许多中国用户会搜索“Telegram 下载链接”或“Telegram 中文版下载链接”,结果被导向至欺诈网站​。这些假冒网站看上去相当复杂,普通用户很难将其与官方网站区分开来。

攻击者通常借助 YouTube 或百度等非官方渠道传播恶意 App,且其功能几乎与合法应用程序的一模一样。然而,在某些情况下,例如当用户试图发送加密货币时,恶意软件就会悄悄地将钱包地址篡改为攻击者的地址。

币安安全团队的持续努力

保护用户安全是币安的首要任务,我们的安全团队一直在积极应对这些持续存在的威胁。我们已采取多项措施,以检测并防范剪切恶意软件的攻击:

  1. 对可疑地址进行逆向工程并将其列入黑名单:币安红队已对许多这种恶意 App 进行了逆向工程,识别出攻击者使用的服务器和钱包地址。这使我们能够查封和屏蔽已识别的钱包地址,以对这些恶意实体采取行动​。 

  2. 增强监控:我们已部署自动搜寻系统,以检测假冒 App 和恶意网站。这使我们能够快速响应,并在它们危害用户之前将其移除。 

  3. 提高公众意识的活动:币安通过撰写博客文章、发布社交媒体提醒和发送电子邮件积极向社区通报这些威胁。我们强调仅从官方渠道(如 Google Play 商店或 Apple App 商店)下载 App 并避开第三方网站的重要性。

如何自我保护

您可以采取如下措施,以防范剪切恶意软件带来的安全威胁:

  1. 从官方渠道下载 App:始终使用合法的 App 商店,如 Google Play 商店或 Apple App 商店。就算第三方网站似乎提供 App 的本地化版本,也要避免使用这些网站。安装应用程序时请务必小心谨慎,并确保安装的是正确的 App。 

  2. 验证钱包地址:在进行任何加密货币交易之前,请仔细检查复制的钱包地址。考虑使用一种钱包应用程序,该应用程序可突出显示地址的关键部分,以便更容易进行验证。

  3. 采用强有力的安全措施:为您所有账户启用双重身份验证 (2FA),并定期更新安全设置。使用杀毒软件,并确保其始终是最新版本。其他保护措施包括但不限于,访问任何金融相关平台后退出、关闭连接和定位服务,以及保护个人信息隐私。最后一点也同样重要,请始终制定备份计划,并尽可能确保设备的实体安全。 

  4. 警惕可疑链接:避免点击电子邮件、社交媒体或通信 App 中的未知链接。网络钓鱼活动通常伴随着恶意软件的传播,会诱骗用户下载恶意软件。

结语

剪切恶意软件的威胁仍在持续,其传播方式已从假冒币安 App 扩展到包含 Telegram 和 WhatsApp 等广泛使用的通信平台。无论是移动端还是 PC 端,这些假冒 App 均对全球加密货币用户构成了显而易见的紧迫危险,尤其是那些限制访问官方 App 商店的地区。

币安安全团队会持续监控、检测并应对这些威胁,但我们需要您保持警惕,以确保始终比攻击者更快一步。保持消息灵通,保持谨慎,并始终从可信渠道下载 App。

有关网络安全威胁的最新消息,请关注我们的安全博客文章。

延伸阅读