Эксперт по IT-безопасности Лукас Стефанко, работающий на компанию Eset, обнаружил в магазине Google Play приложение MetaMask для Android, работающее с криптокошельками в браузерах Chrome и Firefox. Реальные разработчики никогда не выпускали программы для мобильных ОС – это сделали хакеры, в расчете на популярность бренда.
Исследование вредоноса показали, наличие сканера ключей кошельков в буферах cookie, элементы замены скопированного адреса Получателя на данные злоумышленников и скрытый майнинг. При этом фишинговый MetaMask дополнительно проводил поиск запущенных сценариев вирусов-конкурентов, с целью их полного уничтожения.
Плагины MetaMask работают только в декстопной версии, позволяя проводить транзакции и управлять балансов ETH и токенов из-под Chrome и Firefox, не скачивая полную ноду Ethereum. Команда Google Play самостоятельно удалила вирусное ПО, подобная атака на MetaMask проводилась впервые, самыми популярными для фишинга были кошельки MyEtherWallet и Ecodus.
