Artykuł został zaktualizowany o komentarze rzecznika Ledger.
Brazylijski badacz bezpieczeństwa odkrył zaawansowaną operację podrabiania urządzeń Ledger, po tym jak natrafił na zmodyfikowany sprzęt zaprojektowany do kradzieży kryptowalut od nieświadomych użytkowników.
Badacz bezpieczeństwa, znany online jako „Past_Computer2901”, podzielił się swoimi odkryciami na Reddicie po zakupie urządzenia, które wyglądało na standardowy Ledger Nano S Plus, na chińskim marketplace.
Mimo że opakowanie i cena odpowiadały oficjalnym standardom sprzedaży detalicznej, urządzenie nie przeszło „Kontroli Oryginalności” po podłączeniu do autentycznej aplikacji desktopowej Ledger Live.
Ta czerwona flaga doprowadziła do fizycznego rozłożenia urządzenia, ujawniając, że wewnętrzna elektronika została zmieniona w celu dodania anten WiFi i Bluetooth — funkcji całkowicie nieobecnych w legalnym modelu.
Oszuści wykorzystują te zmodyfikowane urządzenia do eksploatowania nowych nabywców poprzez zwodniczy proces konfiguracji.
Kod QR dołączony do opakowania kieruje użytkowników do oszukańczej wersji aplikacji Ledger Live, która jest zaprogramowana do omijania ostrzeżeń bezpieczeństwa i wydawania fałszywej weryfikacji autentyczności sprzętu.
Gdy użytkownik postępuje zgodnie z instrukcjami, aby wygenerować lub wprowadzić frazę seed, skompromitowane oprogramowanie układowe przechwytuje dane, umożliwiając atakującym opróżnienie portfela w dowolnym momencie.
„To nie ma na celu wywołania paniki, lecz stanowi poważne ostrzeżenie — jestem szczerze mówiąc nadal nieco wstrząśnięty skalą tej operacji” – zauważył badacz.
Wewnętrzna analiza urządzenia wykazała, że oszuści dołożyli wszelkich starań, aby ukryć oszustwo, w tym zeskrobali oryginalne oznaczenia chipów.
Podrobione urządzenie Ledger. Źródło: Reddit.
Podczas gdy urządzenie początkowo identyfikowało się jako Nano S Plus 7704 w fazie rozruchu, końcowa sekwencja ujawniła producenta jako Espressif Systems, firmę półprzewodnikową z Szanghaju.
Te modyfikacje zasadniczo naruszają założenia bezpieczeństwa produktów Ledger, które są zbudowane do przechowywania kluczy prywatnych w ściśle środowisku offline.
„Przy zakupach na marketplace, Ledger zdecydowanie zachęca użytkowników do weryfikacji tożsamości sprzedawcy. Użytkownicy powinni upewnić się, że pobierają wyłącznie oficjalne aplikacje Ledger Wallet na komputer i urządzenia mobilne. Sytuacja dotyczyła podrobionego sprzętu, połączonego z fałszywym procesem aplikacji towarzyszącej, zaprojektowanym do symulowania procesu wdrażania, rozpowszechnianego przez nieoficjalne kanały” – powiedział rzecznik Ledger dla crypto.news.
„Ledger nigdy nie poprosi użytkowników o ich 24 słowa. Jeśli ktoś podający się za Ledger lub jakakolwiek aplikacja, która ma być aplikacją Ledger, poprosi o twoje 24 słowa, powinieneś natychmiast uznać to za oszustwo” – dodali.
Odkrycie to następuje po osobnym incydencie z początku tego miesiąca, gdzie oszukańcza aplikacja ominęła zabezpieczenia Apple App Store poprzez taktykę „bait-and-switch”. Złośliwe oprogramowanie z powodzeniem oszukało ponad 50 osób, aby ujawniły swoje frazy odzyskiwania, co doprowadziło do kradzieży 9,5 miliona dolarów, zanim platforma usunęła ofertę. Aplikacja została od tego czasu usunięta z powodu złośliwej funkcji „bait-and-switch”, według Apple.
„Bądźcie bezpieczni. Pobierajcie Ledger Live tylko ze strony ledger.com. Kupujcie sprzęt tylko ze strony ledger.com. Jeśli wasze urządzenie nie przejdzie Kontroli Oryginalności — natychmiast przestańcie go używać” – ostrzegł badacz.
