特洛伊化加密货币交易程序被发现，它以 Mac 用户为目标

四款特洛伊化加密货币交易应用程序被发现传播恶意软件，它们窃取加密货币钱包并收集Mac用户的浏览数据。

研究人员警告说，Mac用户正成为特洛伊化加密货币交易应用的目标，这些应用的下载实际上会耗尽受害者的加密货币钱包。

这四款假冒应用程序分别是Cointrazer、Cupatrade、Licatrade和Trezarus，它们声称是真正的加密货币交易应用程序Kattana的翻版。该活动背后的操作者使用了复制Kattana合法网站的网站，以说服不知情的加密货币爱好者下载这些假应用。这些虚假网站包括一个下载按钮，以及一个到包含木马化应用程序包的ZIP归档文件的链接。

“对于不了解Kattana的人来说，这些网站看起来确实是合法的，”ESET的高级恶意软件研究员 Marc-Etienne M. Léveillé在上周的一份分析报告中说。“恶意软件的作者不仅打包了原始的、合法的应用程序的拷贝来包含恶意软件;他们还将Kattana交易应用重新命名，并复制了原来的网站。”

一旦下载，特洛伊化应用程序就会部署名为GMERA的恶意软件，收集受害者的浏览器信息(包括他们的cookie和浏览历史)，访问并取出他们的加密货币钱包，并对他们的设备进行截屏。

趋势科技(Trend Micro)的研究人员在2019年9月发现了GMERA，他们表示，该恶意软件在另一场运动中通过特洛伊化加密货币应用程序传播，利用了交易应用Stockfolio的恶意版本。

恶意程序

研究人员说，最近的攻击已经演变为使用新的、重新命名的应用程序，然而，“在以前的攻击中，恶意软件通过HTTP报告到一个[命令和控制]服务器，并使用硬编码的IP地址将远程终端会话连接到另一个[C2]服务器。”

研究人员说，这四款应用有细微的差别，但功能基本上是一样的。在深入研究Licatrade示例时，研究人员发现应用程序包包含一个shell脚本(run.sh)，该脚本一旦下载就会启动，并试图通过安装启动代理在受害者的系统上设置持久性。

然而，“有趣的是，Licatrade示例中持久性被破坏了:生成的启动代理文件(.com apple.system.plist)的内容不是launchd所期望的属性列表格式，而是要执行的命令行，”Leveille说。

shell脚本的最后一行设置了一个到操作员服务器的反向shell，然后允许攻击者向恶意软件发送各种恶意命令。

使用公共名称字段设置为“Andrey Novoselov”的证书和使用开发人员ID M8WVDT659T签署了Licatrade。该证书由苹果公司于2020年4月6日颁发，并在研究人员通知苹果公司该恶意应用程序的同一天被撤销。

研究人员认为，这场运动始于2020年4月15日，因为这是ZIP归档文件修改时间戳、申请签名日期以及下载归档文件最后修改的HTTP头的日期。

总部位于瑞士的Kattana此前也曾对重新命名的恶意应用程序发出警告，并在Twitter上发布警告称，有人“接触”其用户，诱使他们下载其软件的“恶意模仿服务”。

当被问及对此的评论时，Kattana的一位发言人说，“我们已经通过官方沟通渠道通知了我们的用户这一恶意行为。”

Catalina macOS Avoided

研究人员还指出，一旦下载完毕，该恶意软件就会先检查系统是否运行了最新版本的macOS Catalina，然后再试图截图该设备。研究人员认为，这是因为Catalina增加了一项功能，即每个应用程序的屏幕记录或截图都必须经过用户的批准——这对Mac用户来说是一个危险信号。

“事实上，不应该在Catalina身上截屏，而且运营商的终端上会显示明显的警告标志，这让我们想知道，为什么他们在当前macOS版本上采取了不同的行动。”Leveille说，“我们测试了从反向shell在Catalina上的截图，结果在我们的沙箱中出现了一个警告，这是相当可疑的，考虑到交易应用程序不应该这样做。

研究人员警告称，利用加密货币交易的黑客、恶意软件和骗局正在激增。事实上，上周，在黑客在Twitter平台上实施了大规模加密货币骗局之后，Twitter锁定了数千名知名Twitter用户的认证账户。这些被劫持的账户发出的推文都宣传了一种预付费用的加密货币骗局，承诺将发送到某个特定钱包的比特币的价值提高一倍。