Google Play: app fake di Trezor ruba le credenziali di accesso ai wallet di monete virtuali

Nel mese di maggio 2019 il valore del Bitcoin ha toccato nuovi vertici, superando le quotazioni più alte raggiunte a settembre 2018. Non sorprende quindi che i criminali informatici abbiano sfruttato questa crescita per tornaconti illeciti, insidiando gli utenti di criptovaluta con truffe di vario tipo e app dannose. Secondo i ricercatori di ESET una di queste, chiamata Trezor Mobile Wallet, impersonava il popolare portafoglio di criptovalute Trezor e rimandava ad un’altra falsa app chiamata Coin Wallet; quest’ultima si presentava come strumento per permettere di creare wallet per varie criptovalute, mentre induceva i malcapitati a trasferire le monete virtuali nei wallet degli hacker, secondo il tipico schema del cosiddetto wallet address scams.

L'app fraudolenta è stata caricata su Google Play il 1 maggio 2019 con il nome dello sviluppatore "Trezor Inc." e ha ingannato diversi utenti grazie alla sua interfaccia attendibile e al fatto che compariva come secondo risultato più popolare nella ricerca di “Trezor” su Google Play, proprio dietro all’omonima app ufficiale. 

A seguito della segnalazione di ESET, Google Play ha rimosso le app dannose e Trezor ha confermato che l’app falsa non rappresenta una minaccia diretta per i suoi utenti, pur esprimendo la preoccupazione che gli indirizzi email raccolti tramite app false come questa potrebbero in seguito essere utilizzati in modo errato nelle campagne di phishing.

I ricercatori di ESET ricordano che per evitare di incappare in truffe legate alle criptovalute online è necessario:

• Fidarsi solo delle app collegate al sito web ufficiale del servizio di cripto valute utilizzato

• Inserire le informazioni sensibili nei moduli online solo se si è sicuri della loro sicurezza e legittimità

• Mantenere il dispositivo aggiornato

• Utilizzare una soluzione di sicurezza mobile affidabile per bloccare e rimuovere le minacce

Per ulteriori informazioni sull’app fake di Trezor è possibile collegarsi al blog di ESET al seguente link: https://www.welivesecurity.com/2019/05/23/fake-cryptocurrency-apps-google-play-bitcoin/