Недолік в Android залишає 30 мільйонів криптогаманців відкритими для атак: аналітики Microsoft

Патч був доступний майже рік, але мільйони користувачів Android все ще можуть запускати уразливі додатки для криптогаманців — залишаючи свої кошти та приватні ключі відкритими для відомої вразливості безпеки.

Команда з дослідження безпеки Microsoft Defender оприлюднила минулого тижня деталі вразливості, яку вона вперше виявила у квітні 2025 року. Уразливість існувала всередині широко використовуваного компоненту програмного забезпечення під назвою EngageLab SDK, версії 4.5.4.

Оскільки цей SDK вбудований у тисячі додатків для Android, один зловмисний додаток міг викликати ланцюгову реакцію, яка поширилася далеко за межі самого себе.

Як працює атака

Метод називається «перенаправлення намірів». Додаток зловмисника надсилає спеціально сформоване повідомлення будь-якому додатку, що працює з уразливою версією SDK. Як тільки це повідомлення потрапляє, цільовий додаток обманом надає доступ для читання та запису до своїх даних — включаючи збережені фрази-сід та адреси гаманців.

Вбудована система ізоляції Android, яка зазвичай запобігає доступу додатків до даних один одного, була повністю обійдена. За словами Microsoft, атака вплинула на понад 50 мільйонів додатків у всій екосистемі Android, з приблизно 30 мільйонами з них — криптогаманцями.

Уразливість не вимагала від користувача нічого робити неправильно. Ніяких підозрілих посилань. Ніяких фішингових сторінок. Достатньо було просто мати встановлені неправильні додатки одночасно.

Відповідь від Microsoft і Google

Microsoft швидко відреагувала після виявлення. До травня 2025 року компанія залучила Google та команду безпеки Android до реагування. EngageLab випустила виправлену версію — SDK 5.2.1 — незабаром після цього.

Звіти свідчать, що з того часу Microsoft і Google інструктували користувачів, як перевірити, чи були їхні гаманці оновлені через Google Play Protect.

Офіційні особи також звернули увагу на ширшу проблему: додатки, встановлені у вигляді APK-файлів із поза межами Play Store, мають вищий ризик, оскільки вони обминають перевірки безпеки, які Google застосовує до додатків у своєму офіційному маркетплейсі.

Що мають робити користувачі зараз

Для більшості користувачів, які регулярно оновлюють свої додатки, ризик, ймовірно, минув. Але для тих, хто не оновлювався з середини 2025 року, рекомендується дія, що виходить за межі простого оновлення додатка.

Команди з безпеки радять цим користувачам перенести свої кошти у нові гаманці, створені з новими фразами-сід. Будь-який гаманець, активний і незап patched під час вразливості, слід вважати потенційно скомпрометованим.

Розкриття вразливості відбувається на тлі окремої уразливості чипа Android, виявленої минулого місяця, та нової ініціативи Міністерства фінансів США, яка поєднує урядові агентства з криптовалютними компаніями для обміну інформацією про кіберзагрози — що свідчить про те, що мобільна безпека у криптопросторі привертає увагу на найвищому рівні.

Зображення з Bleeping Computer, графік з TradingView