Snap Store, централизованный репозиторий приложений для распространения snap-пакетов, управляемый компанией Canonical, позволяет разработчикам публиковать приложения с относительно низким порогом входа, а пользователи могут устанавливать и обновлять программное обеспечение автоматически через единый доверенный канал. Однако сейчас это доверие под угрозой.
В своём блоге Алан Поуп, давний участник сообщества Ubuntu и бывший сотрудник Canonical, который до сих пор активно публикует Snap-пакеты и поддерживает почти 50 Snap-пакетов с тысячами пользователей, предупреждает о тревожной тенденции, затрагивающей Snap-пакеты. Вот в чём дело.
Уже больше года Поуп и другие специалисты по безопасности отслеживают постоянную кампанию по распространению вредоносных снимков, имитирующих приложения для криптовалютных кошельков. Эти поддельные приложения обычно имитируют известные проекты, такие как Exodus, Ledger Live или Trust Wallet, и предлагают пользователям ввести фразы для восстановления доступа к кошельку, которые затем передаются злоумышленникам, что приводит к потере средств.
В предыдущих версиях кампании использовались недавно созданные аккаунты издателей и визуально привлекательные страницы магазинов. Однако, по словам Поупа, последний шаг представляет собой значительный скачок.
Вместо того чтобы создавать новые учётные записи, злоумышленники теперь отслеживают в Snap Store издателей, у которых истёк срок действия доменных имён. Как только срок действия домена истекает, злоумышленники регистрируют его сами, сбрасывают пароль в учётной записи Snap Store, привязанной к этому домену, и получают контроль над учётной записью издателя. После этого они могут отправлять вредоносные обновления для снимков, которым пользователи могли доверять и которые они установили несколько лет назад.
Поуп выявил по меньшей мере два домена издателей, а именно storewise.tech и vagueentertainment.com, которые были взломаны с помощью этого метода. В обоих случаях ранее безобидные снимки были обновлены и содержали вредоносное ПО для кражи данных без очевидных изменений в профиле или репутации издателя.
Анализ вредоносных снимков показывает повторяющуюся закономерность. Приложения отображают веб-интерфейс, который очень похож на интерфейс легальных кошельков. При запуске они пытаются связаться с удалённой конечной точкой, чтобы проверить подключение к сети, прежде чем продолжить работу.
Если пользователь вводит фразу для восстановления, она немедленно передается на серверы злоумышленников. К тому времени, когда обман раскрывается, содержимое кошелька, как правило, уже исчезло.
Конечно, компания Canonical удалила вредоносные приложения, о которых сообщалось, но Поуп отмечает, что принятие мер часто происходит с задержкой, из-за чего вредоносные обновления остаются доступными достаточно долго, чтобы нанести ущерб пользователям.
Тем временем издателям Snap рекомендуется своевременно обновлять регистрацию доменов и включать двухфакторную аутентификацию. В то же время пользователям настоятельно рекомендуется не устанавливать приложения для криптовалютных кошельков из магазинов приложений, а загружать их напрямую с официальных сайтов проектов.