Обнаружен фальшивый кошелек Ledger со скрытым чипом, ворующим начальные фразы и PIN-коды

Исследователь кибербезопасности из Бразилии раскрыл крупномасштабную мошенническую операцию после покупки аппаратного кошелька Ledger на китайской торговой площадке, который выглядел законным и имел такую ​​же цену, как и в официальном магазине. Упаковка издалека выглядела оригинальной, но устройство оказалось поддельным.

Когда исследователь подключил его к Ledger Live, установленному с сайтаledger.com, он не прошел проверку на подлинность, подтвердив, что это не настоящее устройство Ledger. Эта неудача заставила исследователя открыть устройство и изучить его внутреннее оборудование и прошивку.

Клонированные веб-сайты и вредоносные приложения

Внутри оболочки исследователь обнаружил совершенно другой чип, не тот, который используется в аппаратном кошельке. Маркировка чипа была физически соскоблена, чтобы скрыть идентификацию. Согласно сообщению исследователя на Reddit, устройство также оснащено антенной Wi-Fi и Bluetooth, которой нет в реальном Ledger Nano S+. Проанализировав компоновку чипа, они определили его как ESP32-S3 с внутренней флэш-памятью.

Когда устройство загружалось, оно сначала маскировалось под Ledger Nano S+ 7704 с серийными номерами и заводским идентификатором Ledger, но позже раскрыло своего настоящего производителя как Espressif Systems.

После сброса прошивки и ее обратного проектирования исследователь обнаружил, что PIN-код, созданный на устройстве, хранился в открытом виде. Сид-фразы из кошельков, сгенерированных на устройстве, также хранились в открытом виде. Прошивка также содержала несколько жестко запрограммированных ссылок на домены, указывающих на внешние серверы управления и контроля. Эти результаты показали, что устройство было разработано для сбора конфиденциальных данных кошелька со ссылками на внешние серверы.

Исследователь также изучил, как атака может сработать на практике. Хотя аппаратное обеспечение содержало антенну Wi-Fi и Bluetooth, прошивка не содержала признаков беспроводной передачи данных или подключений к точке доступа Wi-Fi. Он также не содержал плохих USB-скриптов для ввода нажатий клавиш или команд терминала. Вместо этого атака, судя по всему, основывалась на взаимодействии пользователя за пределами самого устройства.

По их словам, мошенничество начинается, когда пользователь сканирует QR-код, включенный в упаковку. Этот QR-код ведет на клонированный веб-сайт, похожий наledger.com. Отсюда пользователям предлагается загрузить поддельное приложение «Ledger Live» для Android, iOS, Windows или Mac. Поддельное приложение показывает экран проверки подлинности поддельной продукции, который всегда проходит. Затем пользователи создают кошельки и записывают начальные фразы, полагая, что установка безопасна. Тем временем поддельное приложение передает исходные фразы на серверы, контролируемые злоумышленниками.

Вам также может понравиться:

Аналитик защищает позицию Circle о запрете заморозки фондов Drift Hack на сумму 280 миллионов долларов

Казначейство США распространяет угрозу Intel банковского уровня на криптосектор

Aethir уклоняется от крупного кризиса после сдерживания взлома Bridge: убытки остаются ниже 90 тысяч долларов

Исследователь декомпилировал APK-версию поддельного приложения Ledger Live для Android и обнаружил дополнительное вредоносное поведение. Приложение было создано с использованием React Native и движка Hermes. Он был подписан с помощью сертификата отладки Android вместо надлежащего ключа подписи. Он перехватывал команды APDU между приложением и устройством, делал скрытые запросы к внешним серверам и продолжал работать в фоновом режиме в течение нескольких минут после закрытия.

Он также запрашивал разрешения на определение местоположения и отслеживал баланс кошельков с помощью открытых ключей, что позволяло злоумышленникам отслеживать депозиты и суммы.

Это не недостаток в безопасности реестра

Исследователь заявил, что это не уязвимость нулевого дня и не недостаток в системе безопасности Ledger. Было подтверждено, что Genuine Check и Secure Element Ledger работают правильно. Вместо этого это описывается как фишинговая операция, сочетающая в себе поддельное оборудование, вредоносные приложения и внешнюю инфраструктуру. Полная операция включает в себя аппаратные устройства с чипами ESP32-S3, зараженные троянами приложения для Android и других платформ, а также серверы управления и контроля, используемые для кражи данных.

Исследователь также добавил, что о поддельных устройствах Ledger сообщалось и раньше, но этот случай отличается от других, поскольку в нем отображается вся система, включая оборудование, приложения, инфраструктуру и распространение через подставную компанию, связанную со списками торговых площадок. Исследователь представил отчет команде по работе с клиентами Ledger и готовит полный технический анализ с дальнейшим анализом версий вредоносного ПО для Windows, macOS и iOS.

Несколько лет назад другой пользователь Reddit сообщил, что получил Ledger Nano X в аутентичной упаковке, но письмо внутри вызвало обеспокоенность из-за орфографических и грамматических ошибок. В письме утверждалось, что это была замена после утечки данных.

Позже эксперт по безопасности обнаружил, что к USB-разъему устройства был подключен флэш-накопитель, предназначенный для доставки вредоносного ПО и возможной кражи.